サーバーのSSL/TLS設定を見直す

１年半ぐらい前に設定したときの覚書（下書きに埋まってた）。

SSLv3の脆弱性が報告され、攻撃者が通信の内容を複合できる。

• 更新：SSL 3.0 の脆弱性対策について(CVE-2014-3566)：IPA 独立行政法人 情報処理推進機構

Nginxでもデフォルトで有効になっているので設定する必要がある。

• Protecting NGINX and NGINX Plus from the POODLE Attack

最近の設定はこんな感じ

#
# SSL
#
ssl on;
ssl_certificate      /etc/nginx/ssl.d/2016/cert.pem;
ssl_certificate_key  /etc/nginx/ssl.d/2016/key_nopass.pem;
ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_prefer_server_ciphers   on;
#ssl_stapling on;
#ssl_stapling_verify on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

 

下記サイトでまるっとチェックできる。

• SSL Server Test (Powered by Qualys SSL Labs)

 

無料でSSLを発行できるLet's Encryptが正式版になったのでSSLの設定作業はデフォルトになりそう。

下記サイトも詳しそうなので今度設定するときにじっくり読む。

• 光の速さのWEBサーバー(nginx)をlet's encryptでSSL化及びHTTP/2化。ついでにセキュリティ評価をA＋にする。 - Qiita

 

 

< Related Posts >

• ロードバランサーのNginxにキャッシュさせる設定
• NginxにSSL(VeriSign)をInstall、設定
• OpenSSLで認証局（CA）構築とApache+mod_sslでサーバ認証