NginxのSSL構成で ssl_dhparam
ディレクティブ のDiffie-Hellmanパラメータを生成しています。
ファイルdhparam.pem
は、コマンドopenssl dhparam 2048 -check -out dhparam.pem
を使用して作成されます。
このファイルにどの権限を設定する必要がありますか? gitリポジトリで共有しても安全ですか、それとも非公開にしておくべきですか?
Dhparamファイルには、DH鍵交換のグループを定義する素数が含まれています。これは秘密ではなく、鍵交換中に平文で送信されるため、秘密にしておく意味はありません。
ファイルのアクセス許可については、nginxはそれらを読み取る必要があり、攻撃者はそれらを編集できないようにする必要があります。設定によって異なる場合がありますが、所有者とグループをrootに設定し、権限を644に設定すると機能します。