SSLCipherSuiteの設定方法。SSL Server TestでAを取る。

QUALYS SSL LABSという会社のサービスで、「SSL Server Test があります。

Let’s Encrypt等のSSLをVPSにインストールしただけの状態だと、以下のようにC判定になります。

 

SSL Server Test でAを取るために必要なことは以下の4つです。

目次

SSL3.0の無効化

これは以前書いたPoodleののやつですね。

あわせて読みたい
SSL3.0の脆弱性(POODLE)を無効化する。 SSL3.0の脆弱性が2014年10月14日に発表されました。 その名もプードルです。 プードルとは かわいい名前ですが、実際は Padding Oracle On Downgraded Legacy Encryptio...
ssl.conf 内の SSLProtoco を以下に変更

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite(暗号スイート) の変更

3DES、RC4、DHの無効化。

ssl.conf 内のSSLCipherSuite を以下に変更
記載がなければ追記

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES:!RC4:!DH

HSTS(HTTP Strict Transport Security)の設定追加

HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ、略称 HSTS)とは、HTTPの代わりにHTTPSを使うように伝達するセキュリティ機構。
ssl.conf 内に以下に変更

Header set Strict-Transport-Security "max-age=315360000;"

暗号スイート順序はサーバ側の順序を優先する設定に変更

ssl.conf 内に以下に変更

SSLHonorCipherOrder on

 

以上の設定で、以下の様にAがとれるはずです。

設定周りで悩んだら、お気軽にご相談ください。
問合せの際は「web担当者を見た」とお伝えください。

この記事を書いた人

デジタルマーケティングに16年間従事しているMITSUIです。Google AnalyticsとGoogle Tag Managerが大好きで、これらのツールを活用した情報提供を行っています。ブログではデジタルマーケティングに関する情報や最新のトレンド、ベストプラクティスを紹介しています。

コメント

コメントする

CAPTCHA


目次