<div dir="ltr"><div>I mentioned in my last email message that I was investigating discrepancies between your results and mine: I've since confirmed I'd used ssl_dhparam from Mozilla's preferred config and not included this in the actual patch. <br></div><div><br></div><div>I apologise Thomas. Thanks for including your own handshake results as it's given me something to compare against and helped move the discussion forward.</div><div><br></div><div>With the following setup:</div><div> - Adding dh_param </div><div> - nginx hg revision 6217</div><div> - 'HIGH:!aNULL:!MD5' as defined in openssl 1.0.1e (too long to paste)</div><div><br></div><div>I can get an A out of the box - see <a href="https://archive.is/fEcdv">https://archive.is/fEcdv</a>. </div><div><br></div><div>I believe this means we're in sync: provided the user keeps openssl up to date, adding dh_param should fix the ssllabs warnings. </div><div><br></div><div>I was trying to save nginx users some additional work, and not correctly identifying the parameter that resolved the warning was my mistake. </div><div><br></div><div>Would nginx accept a patch to include dh_params in the example config?</div><div class="gmail_extra"><br></div></div>