SSLCipherSuiteの設定方法。SSL Server TestでAを取る。

サーバー
スポンサーリンク

QUALYS SSL LABSという会社のサービスで、「SSL Server Test があります。

Let’s Encrypt等のSSLをVPSにインストールしただけの状態だと、以下のようにC判定になります。

 

SSL Server Test でAを取るために必要なことは以下の4つです。

スポンサーリンク

SSL3.0の無効化

これは以前書いたPoodleののやつですね。

SSL3.0の脆弱性(POODLE)を無効化する。
SSL3.0の脆弱性が2014年10月14日に発表されました。その名もプードルです。プードルとはかわいい名前ですが、実際はPaddingOracleOnDowngradedLegacyEncryption(POODLE)です。CipherB...
ssl.conf 内の SSLProtoco を以下に変更

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite(暗号スイート) の変更

3DES、RC4、DHの無効化。

ssl.conf 内のSSLCipherSuite を以下に変更
記載がなければ追記

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES:!RC4:!DH

HSTS(HTTP Strict Transport Security)の設定追加

HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ、略称 HSTS)とは、HTTPの代わりにHTTPSを使うように伝達するセキュリティ機構。
ssl.conf 内に以下に変更

Header set Strict-Transport-Security "max-age=315360000;"

暗号スイート順序はサーバ側の順序を優先する設定に変更

ssl.conf 内に以下に変更

SSLHonorCipherOrder on

 

以上の設定で、以下の様にAがとれるはずです。

コメント

タイトルとURLをコピーしました