A remoção de todas as cifras DHE do nosso servidor finalmente resolveu o problema de conexão.
O que poderia causar um erro Could not generate DH key pair on the destination URL
?
Uma empresa parceira do EDI tenta se conectar ao nosso servidor HTTPS e encontra a mensagem acima.
Ou o sistema usa um firewall comercial e um proxy reverso (baseado no Apache) com uma classificação de alta segurança ('A' no qualsys ssltest). Eu suspeito que o nosso nível de segurança é maior do que os recursos da nossa empresa parceira EDI, no entanto eles afirmam ter conexões de trabalho com outros parceiros HTTPS, e eles dizem que eles suportam '2048 bits'.
Infelizmente, não podemos reduzir o nível de segurança em nosso sistema para fins de teste. Existem ferramentas de diagnóstico padrão que podem recomendar nosso parceiro de EDI para que possam analisar a falha de conexão?
Atualização: usei a ferramenta de diagnóstico Qualsys para SSL e descobri que, para clientes do Java (Sun JRE) 6, nenhuma conexão é possível porque
Java 6u45 - Client does not support DH parameters > 1024 bits
.
Para outros servidores com classificação A, no entanto, os clientes Java 6 podem se conectar e parece que eles não usam DH:
Java 6u45 - TLS 1.0 - TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)