Meaningless Notebook

我輩は雑記帖である。名はまだない。


Web サ-バ-の SSL 設定に、既知の脆弱性が存在しないかチェックして再設定する。

SSL の脆弱性チェックには、Qualys SSL Labs が提供している『SSL Server Test』を使用する。

2020 年 03 月から TLS 1.1 が非推奨となりました

なので SSL Server Test の Overrall Rating が 『B』になってしまいました。

前回の設定から 2 年以上経過しているわけで本来ならもっと調べて詰めるべきなのですがとりあえず TLS 1.1 を拒否する設定にして『A+』にしようと思った (小並感)。

1. バ-チャルホストの設定を修正

バ-チャルホストの設定項目『SSL Protocol』に『-TLSv1.1』を追記。

<VirtualHost *:80>
    ServerName ドメイン名:80
    <IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTPS} off
        RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
    </IfModule>
</VirtualHost>

<VirtualHost *:443>
    SSLEngine on
    SSLProtocol All -SSLv2 -SSlv3 -TLSv1 -TLSv1.1
    SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!RC4:!DH
    SSLHonorCipherOrder On
    SSLCertificateFile 取得したサ-バ証明書 (公開鍵)
    SSLCertificateChainFile 取得した中間証明書
    SSLCertificateKeyFile 取得した秘密鍵
    Header set Strict-Transport-Security "max-age=31536000"

    ServerAdmin サ-バ-管理者の連絡先メ-ルアドレス
    DocumentRoot ドキュメントル-ト
    ServerName ドメイン名:443
</VirtualHost>

2. おまけ

2.1 Apache のバ-ジョン確認

httpd -v

2.2 OpenSSL のバ-ジョン確認

openssl version

最後に

そろそろリプレ-スするかなぁ…

でもどうせ TLS 1.4 とか出るだろうからまだいいか (慢心)。

SSLCipherSuite の設定も詰めるべきかと思ったけど EC サイトでもないし、そこまで力いれなくてもいい気がする (小声)。

参考元

  1. WEB ARCH LABO
  2. CentOSサーバ構築術 文具堂
  3. opensslのバージョン確認とアップデート(Heartbleed対応)
  4. mod_sslで使用するSSLCipherSuiteの設定を詰めてみる

Amazon