QUALYS SSL LABSという会社のサービスで、「SSL Server Test があります。
Let’s Encrypt等のSSLをVPSにインストールしただけの状態だと、以下のようにC判定になります。
SSL Server Test でAを取るために必要なことは以下の4つです。
SSL3.0の無効化
これは以前書いたPoodleののやつですね。
SSL3.0の脆弱性(POODLE)を無効化する。
SSL3.0の脆弱性が2014年10月14日に発表されました。その名もプードルです。プードルとはかわいい名前ですが、実際はPaddingOracleOnDowngradedLegacyEncryption(POODLE)です。CipherB...
liapoc.com
2023.01.23
ssl.conf 内の SSLProtoco を以下に変更 SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite(暗号スイート) の変更
3DES、RC4、DHの無効化。
ssl.conf 内のSSLCipherSuite を以下に変更 記載がなければ追記 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES:!RC4:!DH
HSTS(HTTP Strict Transport Security)の設定追加
HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ、略称 HSTS)とは、HTTPの代わりにHTTPSを使うように伝達するセキュリティ機構。
ssl.conf 内に以下に変更 Header set Strict-Transport-Security "max-age=315360000;"
暗号スイート順序はサーバ側の順序を優先する設定に変更
ssl.conf 内に以下に変更 SSLHonorCipherOrder on
以上の設定で、以下の様にAがとれるはずです。
コメント