SSLCipherSuiteの設定方法。SSL Server TestでAを取る。

サーバー
スポンサーリンク

QUALYS SSL LABSという会社のサービスで、「SSL Server Test があります。

Let’s Encrypt等のSSLをVPSにインストールしただけの状態だと、以下のようにC判定になります。

 

SSL Server Test でAを取るために必要なことは以下の4つです。

スポンサーリンク

SSL3.0の無効化

これは以前書いたPoodleののやつですね。

SSL3.0の脆弱性(POODLE)を無効化する。
SSL3.0の脆弱性が2014年10月14日に発表されました。 その名もプードルです。 プードルとは かわいい名前ですが、実際は Padding Oracle On Downgraded Legacy Encryption(POOD...
ssl.conf 内の SSLProtoco を以下に変更

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite(暗号スイート) の変更

3DES、RC4、DHの無効化。

ssl.conf 内のSSLCipherSuite を以下に変更
記載がなければ追記

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES:!RC4:!DH

HSTS(HTTP Strict Transport Security)の設定追加

HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ、略称 HSTS)とは、HTTPの代わりにHTTPSを使うように伝達するセキュリティ機構。
ssl.conf 内に以下に変更

Header set Strict-Transport-Security "max-age=315360000;"

暗号スイート順序はサーバ側の順序を優先する設定に変更

ssl.conf 内に以下に変更

SSLHonorCipherOrder on

 

以上の設定で、以下の様にAがとれるはずです。

タイトルとURLをコピーしました