How do I get Perfect Forward Secrecy?

Server에서 Perfect Forward Secrecy의 지원을 가능하게 하는 것은 꽤나 간단하다. SSLv3 이후로는 적절한 Cipher가 이용가능하기 때문에, Server가 최신의 TLSv1.2를 지원하는지 확인을 하는 것이 가장 좋은 방법이다. 그리고나서 정확한 Cipher suites를 선택하고 순서가 정확한지 확인한다. Diffie-Hellman 키교환 과정에서 Forward Secrecy로 제공하지만 반드시 Client는 Perfect Forward Secrecy를 포함하는 임시 키교환을 선택해야한다. DHE나 EDH 형태로 cipher suite가 제공된다 DHE 보다 더 속도를 빠르게 하려면 Elliptic Curve DHE suites를 포함시켜야 한다. 아래의 Qualys SSL Test를 살펴보자. Ciphers의 순서를 강제 하기 위해 Nginx에서는 ssl_prefer_server_ciphers on; 을 확인하고 Apache 에서는 SSLHonorCipherOrder on인지 확인해야 한다.