以前、SSLCipherSuite設定メモ - ゆとりインフラエンジニアのブログ的な何か

ってタイトルでapacheのSSL設定とかを書きましたが、

下記SSLのチェックサイトで、

SSL Server Test (Powered by Qualys SSL Labs)

あるサーバーでのWEBサイトの結果が、

SSLCipherSuiteの設定がA判定がでるサイト同じなのに、A判定にならないと悩んででいたのです。

出てくるアドバイス的なものを見ると、

The server does not support Forward Secrecy with the reference browsers

はて？(´σ ｀)？

Forward Secrecyをサポートできてないのか。。。

SSLCipherSuiteもECDHEとDHEを優先で入れてるけどなぁと思って、

チェック結果のCipher Suitesの欄を見ると、ECDHEとDHEが入ってない！！Σ(ﾟ口ﾟ;

いろいろ試行錯誤したのですが、結論から述べると

「httpdとmod_sslのバージョンをあげろ」です。

私は、WEBサーバーにCentOS6を使用しているのですが、

>チェック結果がA判定のでるサーバーのmod_sslのchangelogを見てたら、

 * Tue Jun 10 2014 Jan Kaluza <jkaluza@redhat.com> - 2.2.15-31

- mod_ssl: add ECDH support (#1035818)

とあったのです。

速攻yum update mod_sslと叩きました。そして、httpdをrestartしてから、

再度SSLのチェックサイトでチェックすると、

見事、A判定!! ( ･ㅂ･)و

まあ、たまに地雷を踏むのでyum-cronでupdateしろとは言いませんが、

たまには、updateをしましょうという話でした。