Estou gerando parâmetros Diffie-Hellman para a ssl_dhparamdiretiva na configuração SSL do nginx.
O arquivo dhparam.pemé criado com o comando openssl dhparam 2048 -check -out dhparam.pem.
Quais permissões devo definir para este arquivo? É seguro compartilhar em um repositório git ou devo mantê-lo privado?
Respostas:
O arquivo dhparam contém o prime que define o grupo para a troca de chaves DH. Não é um segredo e será enviado com clareza durante a troca de chaves; portanto, não faz sentido tentar mantê-lo em segredo.
Quanto às permissões de arquivo: o nginx precisa lê-las e um invasor não deve poder editá-las. Pode depender da sua configuração, mas definir proprietário e grupo como root e permissões para 644 deve funcionar.
fonte