Knowledge for WordPress

Knowledge for Google Products

2016年3月19日土曜日

nginx + LibreSSLでSSL Server TestをA+評価にする

ようやく nginx に リバースプロキシとキャッシュ機能をいれて一息ついていたら、
が目に止まって、それならやってみようと思いました。


まず nginxの標準設定でテスト(Qualys SSL Labs)してみました。



ふむ、B評価か。特にDHキー鍵が 1024bitなのが評価が大きく下がっている所ですね。
設定は

ssl_prefer_server_ciphers  on;
ssl_ciphers  AESGCM:HIGH:!aNULL:!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache    shared:SSL:10m;
ssl_session_timeout  5m;

あたりです。


それをサイトをみて、赤文字を追加し、
  • openssl dhparam 2048 -out dhparam.pem
コマンドで 2048bitの DH鍵を作成すると・・・・

ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_prefer_server_ciphers  on;
ssl_ciphers ECDHE+RSAGCM:ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:!aNULL!eNull:!EXPORT:!DES:!3DES:!MD5:!DSS;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache    shared:SSL:10m;
ssl_session_timeout  5m;  
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;';


ふむ、マジでした...


2016年3月18日 @kimipooh


0 件のコメント: