Estoy generando parámetros Diffie-Hellman para la ssl_dhparamdirectiva en la configuración SSL de nginx.
El archivo dhparam.pemse crea con el comando openssl dhparam 2048 -check -out dhparam.pem.
¿Qué permisos debo configurar para este archivo? ¿Es seguro compartir en un repositorio git o debo mantenerlo privado?
Respuestas:
El archivo dhparam contiene el primer que define el grupo para el intercambio de claves DH. No es un secreto, y se enviará en claro durante el intercambio de claves, por lo que no tiene sentido tratar de mantenerlo en secreto.
En cuanto a los permisos de archivos: nginx necesita leerlos, y un atacante no debe poder editarlos. Puede depender de su configuración, pero debería funcionar establecer el propietario y el grupo en root y los permisos en 644.
fuente