使用 TLS 和 ECDHE，曲線選擇如何工作？

鑑於 TLS 客戶端和伺服器已經就建立會話密鑰的 ECDHE 達成一致，用於導出 DH 密鑰的實際橢圓曲線（“域參數”）的選擇如何工作？

曲線是否以某種方式協商過，如果是這樣，它是如何工作的（在 TLS 的背景下）？

如RFC 4492 的 5.1 節所述，客戶端宣布它在擴展消息中支持的曲線，包含在ClientHello消息中。這使伺服器可以在選擇是否使用橢圓曲線之前檢查客戶端和伺服器是否都支持至少一條特定的曲線。

然後伺服器選擇曲線。Supported Elliptic Curves擴展中命名的曲線按客戶端偏好排序，因此有禮貌的伺服器可能會選擇遵循客戶端的偏好，即客戶端列表中伺服器也支持的第一個（其中“支持”表示“有程式碼，並認為可以接受”）。但是，實際上，伺服器會選擇。

引用自：https://crypto.stackexchange.com/questions/11311