<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html lang="en">
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
<title>
GitLab
</title>


<style>img {
max-width: 100%; height: auto;
}
</style>
</head>
<body>
<div class="content">
<div></div>
<p dir="auto">According to the changelog session keys are automatically rotated using a TOTP mechanism since version 3.6.4 (thanks!), but the documentation still says this in the "Session tickets" section:</p>
<blockquote dir="auto">
<p>Those keys should be associated with the GnuTLS session using gnutls_session_ticket_enable_server, and should be rotated regularly (e.g., every few hours), to prevent them from becoming long-term keys which if revealed could be used to decrypt all previous sessions.</p>
</blockquote>
<p dir="auto">Please add a description of the internal rotation as far as relevant at the API level. A question that is of particular concern to me is how the rotation works if a server forks after <code>gnutls_session_ticket_key_generate</code>, because that's what Apache (and with it mod_gnutls) does. Looking at <code>lib/stek.c</code> things should be fine (master key would be shared across forks as before, time should really be the same within one system), but having this explicitly documented would be helpful to application developers.</p>

</div>
<div class="footer" style="margin-top: 10px;">
<p style="font-size: small; color: #777;">

<br>
Reply to this email directly or <a href="https://gitlab.com/gnutls/gnutls/issues/581">view it on GitLab</a>.
<br>
You're receiving this email because of your account on gitlab.com.
If you'd like to receive fewer emails, you can
<a href="https://gitlab.com/sent_notifications/b893f4c3f5891af73fd6a7d0029a12ec/unsubscribe">unsubscribe</a>
from this thread or
adjust your notification settings.
<script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","action":{"@type":"ViewAction","name":"View Issue","url":"https://gitlab.com/gnutls/gnutls/issues/581"}}</script>
</p>
</div>
</body>
</html>