web-dev-qa-db-ja.com

dhparam.pemにはどの権限を設定する必要がありますか?

NginxのSSL構成で ssl_dhparamディレクティブ のDiffie-Hellmanパラメータを生成しています。

ファイルdhparam.pemは、コマンドopenssl dhparam 2048 -check -out dhparam.pemを使用して作成されます。

このファイルにどの権限を設定する必要がありますか? gitリポジトリで共有しても安全ですか、それとも非公開にしておくべきですか?

19

Dhparamファイルには、DH鍵交換のグループを定義する素数が含まれています。これは秘密ではなく、鍵交換中に平文で送信されるため、秘密にしておく意味はありません。

ファイルのアクセス許可については、nginxはそれらを読み取る必要があり、攻撃者はそれらを編集できないようにする必要があります。設定によって異なる場合がありますが、所有者とグループをrootに設定し、権限を644に設定すると機能します。

14
Dario Seidl