読者です 読者をやめる 読者になる 読者になる

ゆとりインフラエンジニアのブログ的な何か

駆け出しインフラエンジニアのブログ

SSLCipherSuite設定メモ2

以前、SSLCipherSuite設定メモ - ゆとりインフラエンジニアのブログ的な何か

ってタイトルでapacheSSL設定とかを書きましたが、

下記SSLのチェックサイトで、

SSL Server Test (Powered by Qualys SSL Labs)

 

あるサーバーでのWEBサイトの結果が、

SSLCipherSuiteの設定がA判定がでるサイト同じなのに、A判定にならないと悩んででいたのです。

 

出てくるアドバイス的なものを見ると、

The server does not support Forward Secrecy with the reference browsers

 

はて?(´σ `)?

Forward Secrecyをサポートできてないのか。。。

SSLCipherSuiteもECDHEとDHEを優先で入れてるけどなぁと思って、

チェック結果のCipher Suitesの欄を見ると、ECDHEとDHEが入ってない!!Σ(゚口゚;

 

いろいろ試行錯誤したのですが、結論から述べると

httpdとmod_sslのバージョンをあげろ」です。

 

私は、WEBサーバーにCentOS6を使用しているのですが、

>チェック結果がA判定のでるサーバーのmod_sslchangelogを見てたら、

 * Tue Jun 10 2014 Jan Kaluza <jkaluza@redhat.com> - 2.2.15-31

- mod_ssl: add ECDH support (#1035818)

とあったのです。

速攻yum update mod_sslと叩きました。そして、httpdをrestartしてから、

再度SSLのチェックサイトでチェックすると、

見事、A判定!! ( ・ㅂ・)و

 

まあ、たまに地雷を踏むのでyum-cronでupdateしろとは言いませんが、

たまには、updateをしましょうという話でした。