]> git.ipfire.org Git - thirdparty/bind9.git/commitdiff
Provide an example of forward secrecy enabled TLS configuration
authorArtem Boldariev <artem@boldariev.com>
Thu, 30 Sep 2021 08:31:01 +0000 (11:31 +0300)
committerArtem Boldariev <artem@boldariev.com>
Fri, 1 Oct 2021 12:56:02 +0000 (15:56 +0300)
This commit adds and example of a perfect forward secrecy enabled TLS
configuration intended to be used as a starting point.

doc/arm/reference.rst

index 63beef4cbb9b411f15c74a9a488a47035fcdb98c..6db12cc859b8f6a70d3285ac7e68e15b4004add2 100644 (file)
@@ -4809,6 +4809,32 @@ and system-wide cryptographic policy. On the other hand, by specifying
 the needed options one could have a uniform configuration deployable
 across a range of platforms.
 
+An example of privacy-oriented, perfect forward secrecy enabled
+configuration can be found below. It can be used as a
+starting point.
+
+::
+
+   tls local-tls {
+       key-file "/path/to/key.pem";
+       cert-file "/path/to/fullchain_cert.pem";
+       dhparam-file "/path/to/dhparam.pem";
+       ciphers "HIGH:!kRSA:!aNULL:!eNULL:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!SHA1:!SHA256:!SHA384";
+       prefer-server-ciphers yes;
+       session-tickets no;
+   };
+
+A Diffie-Hellman parameters file can be generated using e.g. OpenSSL,
+like follows:
+
+::
+   openssl dhparam -out /path/to/dhparam.pem <3072_or_4096>
+
+Ensure that it gets generated on a machine with enough entropy from
+external sources (e.g. the computer you work on should be fine,
+the remote virtual machine or server might be not). These files do
+not contain any sensitive data and can be shared if required.
+
 There are two built-in TLS connection configurations: ``ephemeral``,
 uses a temporary key and certificate created for the current ``named``
 session only, and ``none``, which can be used when setting up an HTTP