Generuję parametry Diffie-Hellman dla ssl_dhparam
dyrektywy w konfiguracji SSL nginx.
Plik dhparam.pem
jest tworzony za pomocą polecenia openssl dhparam 2048 -check -out dhparam.pem
.
Jakie uprawnienia należy ustawić dla tego pliku? Czy współużytkowanie w repozytorium git jest bezpieczne, czy powinienem zachować prywatność?
Odpowiedzi:
Plik dhparam zawiera liczbę pierwszą, która definiuje grupę wymiany kluczy DH. Nie jest to żadna tajemnica i zostanie wysłana w sposób jawny podczas wymiany kluczy, więc nie ma sensu próbować zachować ją w tajemnicy.
Jeśli chodzi o uprawnienia do plików: nginx musi je odczytać, a atakujący nie może ich edytować. Może to zależeć od konfiguracji, ale ustawienie właściciela i grupy na root oraz uprawnienia na 644 powinny działać.
źródło