Web サ-バ-の SSL 設定に、既知の脆弱性が存在しないかチェックして再設定する。
SSL の脆弱性チェックには、Qualys SSL Labs が提供している『SSL Server Test』を使用する。
2020 年 03 月から TLS 1.1 が非推奨となりました
なので SSL Server Test の Overrall Rating が 『B』になってしまいました。
前回の設定から 2 年以上経過しているわけで本来ならもっと調べて詰めるべきなのですがとりあえず TLS 1.1 を拒否する設定にして『A+』にしようと思った (小並感)。
1. バ-チャルホストの設定を修正
バ-チャルホストの設定項目『SSL Protocol』に『-TLSv1.1』を追記。
<VirtualHost *:80>
ServerName ドメイン名:80
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
</IfModule>
</VirtualHost>
<VirtualHost *:443>
SSLEngine on
SSLProtocol All -SSLv2 -SSlv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!RC4:!DH
SSLHonorCipherOrder On
SSLCertificateFile 取得したサ-バ証明書 (公開鍵)
SSLCertificateChainFile 取得した中間証明書
SSLCertificateKeyFile 取得した秘密鍵
Header set Strict-Transport-Security "max-age=31536000"
ServerAdmin サ-バ-管理者の連絡先メ-ルアドレス
DocumentRoot ドキュメントル-ト
ServerName ドメイン名:443
</VirtualHost>
2. おまけ
2.1 Apache のバ-ジョン確認
httpd -v
2.2 OpenSSL のバ-ジョン確認
openssl version
最後に
そろそろリプレ-スするかなぁ…
でもどうせ TLS 1.4 とか出るだろうからまだいいか (慢心)。
SSLCipherSuite の設定も詰めるべきかと思ったけど EC サイトでもないし、そこまで力いれなくてもいい気がする (小声)。
参考元
- WEB ARCH LABO
- CentOSサーバ構築術 文具堂
- opensslのバージョン確認とアップデート(Heartbleed対応)
- mod_sslで使用するSSLCipherSuiteの設定を詰めてみる
Amazon
関連記事:
-
Qualys SSL Labs が提供している SSL Server Test の評価を A+にする (2018年01月末時点)
Web サ-バ-の SSL 設定に、既知の脆弱性が存在しないかチェックして再設定する。 SSL の脆弱性チェックには、Qualys SSL Labs が提供している『SSL Server Test』を使用する。
-
Let’s Encrypt を導入して Apache をHTTPS対応にする
既存の Web サ-バ- (CentOS 7.3) に Let’s Encrypt を導入して HTTPS 対応にする。
-
OpenLiteSpeed で公開している Web サ-ビスを Let’s Encrypt で Https に対応させる
OpenLiteSpeed で公開している Web サ-ビスに Let’s Encrypt の証明書を使って HTTPS に対応させる。