ゆとりインフラエンジニアのブログ的な何か

駆け出しインフラエンジニアのブログ

SSLCipherSuite設定メモ

SSLの暗号化強度とかいろいろ気になったので調べてみた。

下記サイトで調査したいドメイン名を入れるとまずい部分とか指摘してくれる。

https://sslcheck.globalsign.com

https://www.ssllabs.com/ssltest/

 

設定に参考にしたサイト

ApacheのSSLCipherSuiteにRC4を設定すべきではない - Qiita

SSLCipherSuite を変更し perfect forward secrecy にも対応してみる - さくらVPS CentOS 6.5 - IMPOV::In My Point Of View

Security Labs: Configuring Apache, Nginx, and O... | Qualys Community

 

結局、下記設定に落ち着いた。

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

 

上記設定だといろいろ見れないブラウザがあるので、

調べていたところ、下記サイトを見つけた。

Generate Mozilla Security Recommended Web Server Configuration Files

 

これは、SSLを使うソフト、Apache, Naginx, HAproxyのどれかを選択し、

SSLの設定形式Modern, Intermediate, Oldを選択すると、

ほぼコピペで設定ができてしまうというジェネレーター。

便利!ありがとうMozillaさん!

 

2016/03/06 追記

うまくSSLチェックサイトA判定にならない、そんな時

yuuturn0422.hatenablog.jp