サーバーのSSL/TLS設定を見直す

ssl_to_tls1年半ぐらい前に設定したときの覚書(下書きに埋まってた)。

SSLv3の脆弱性が報告され、攻撃者が通信の内容を複合できる。

Nginxでもデフォルトで有効になっているので設定する必要がある。

最近の設定はこんな感じ

#
# SSL
#
ssl on;
ssl_certificate      /etc/nginx/ssl.d/2016/cert.pem;
ssl_certificate_key  /etc/nginx/ssl.d/2016/key_nopass.pem;
ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_prefer_server_ciphers   on;
#ssl_stapling on;
#ssl_stapling_verify on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

 

下記サイトでまるっとチェックできる。

 

無料でSSLを発行できるLet's Encryptが正式版になったのでSSLの設定作業はデフォルトになりそう。

下記サイトも詳しそうなので今度設定するときにじっくり読む。

 

 

< Related Posts >