QUALYS SSL LABSという会社のサービスで、「SSL Server Test があります。
Let’s Encrypt等のSSLをVPSにインストールしただけの状態だと、以下のようにC判定になります。
SSL Server Test でAを取るために必要なことは以下の4つです。
目次
SSL3.0の無効化
これは以前書いたPoodleののやつですね。
あわせて読みたい
SSL3.0の脆弱性(POODLE)を無効化する。
SSL3.0の脆弱性が2014年10月14日に発表されました。 その名もプードルです。 【プードルとは】 かわいい名前ですが、実際は Padding Oracle On Downgraded Legacy Encry...
ssl.conf 内の SSLProtoco を以下に変更 SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite(暗号スイート) の変更
3DES、RC4、DHの無効化。
ssl.conf 内のSSLCipherSuite を以下に変更 記載がなければ追記 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES:!RC4:!DH
HSTS(HTTP Strict Transport Security)の設定追加
HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ、略称 HSTS)とは、HTTPの代わりにHTTPSを使うように伝達するセキュリティ機構。
ssl.conf 内に以下に変更 Header set Strict-Transport-Security "max-age=315360000;"
暗号スイート順序はサーバ側の順序を優先する設定に変更
ssl.conf 内に以下に変更 SSLHonorCipherOrder on
以上の設定で、以下の様にAがとれるはずです。
コメント