サーバーのSSL/TLS設定を見直す
1年半ぐらい前に設定したときの覚書(下書きに埋まってた)。 SSLv3の脆弱性が報告され、攻撃者が通信の内容を複合できる。 更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566):IPA 独立行政法人 情報処理推進機構 Nginxでもデフォルトで有効になっているので設定する必要がある。 Protecting NGINX and NGINX Plus from the POODLE Attack 最近の設定はこんな感じ # # SSL # ssl on; ssl_certificate /etc/nginx/ssl.d/2016/cert.pem; ssl_certificate_key /etc/nginx/ssl.d/2016/key_nopass.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS; ssl_prefer_server_ciphers on; #ssl_stapling on; #ssl_stapling_verify on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; 下記サイトでまるっとチェックできる。 SSL Server Test (Powered by Qualys SSL Labs) 無料でSSLを発行できる Let's Encrypt が正式版になったのでSSLの設定作業はデフォルトになりそう。 下記サイトも詳しそうなので今度設定するときにじっくり読む。 光の速さのWEBサーバー(nginx)をlet's encryptでSSL化及びHTTP/2化。ついでにセキュリティ評価をA+にする。 - Qiita < Related Posts...