- NginxでSSLの評価をA+にする手順(9mのパソコン日記)
が目に止まって、それならやってみようと思いました。
まず nginxの標準設定でテスト(Qualys SSL Labs)してみました。
ふむ、B評価か。特にDHキー鍵が 1024bitなのが評価が大きく下がっている所ですね。
設定は
ssl_prefer_server_ciphers on;
ssl_ciphers AESGCM:HIGH:!aNULL:!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
あたりです。
それをサイトをみて、赤文字を追加し、
- openssl dhparam 2048 -out dhparam.pem
コマンドで 2048bitの DH鍵を作成すると・・・・
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE+RSAGCM:ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:!aNULL!eNull:!EXPORT:!DES:!3DES:!MD5:!DSS;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;';
ふむ、マジでした...
2016年3月18日 @kimipooh