# hitch.conf — TLS offloader hitch
# Terminaison TLS sur port 443, transmission à Varnish (port 6081) via PROXY protocol.
# Le PROXY protocol permet à Varnish de connaître la vraie IP source du client.
# Réf: https://hitch-tls.org/

# Adresse et port d'écoute TLS
frontend = "[*]:443"

# Backend Varnish (HTTP cleartext + PROXY protocol header)
backend = "[127.0.0.1]:6081"

# Fichier PEM : clé privée + certificat (concaténés)
pem-file = "/etc/hitch/hitch.pem"

# Activation du PROXY protocol v1 (texte) vers le backend
write-proxy-v1 = on

# Protocoles TLS acceptés
tls-protos = TLSv1.2 TLSv1.3

# Suites de chiffrement variées pour générer des JA4 distincts
ciphers = "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256"

# ALPN : activer h2 pour HTTP/2 (si Varnish supporte)
alpn-protos = "h2,http/1.1"

# Nombre de workers (= nombre de cœurs pour les tests)
workers = 2

# Répertoire de travail
daemon = off
log-level = 1
syslog = off