- NginxでSSLの評価をA+にする手順(9mのパソコン日記)
が目に止まって、それならやってみようと思いました。
まず nginxの標準設定でテスト(Qualys SSL Labs)してみました。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjkvgNRRFXh1NHPuYda9GWEz2_dqa6lWSN21mXrYGNSKrqs6m4d1JQdJd0jPmD3wq1Zh_04TCGK-41tnQdBZCpmpjH6Q1L1zUHrW2YL4DC4Hqaap-jl2pI_AiQ358gfa9AOM__qNabNai8/s640/%25E3%2582%25B9%25E3%2582%25AF%25E3%2583%25AA%25E3%2583%25BC%25E3%2583%25B3%25E3%2582%25B7%25E3%2583%25A7%25E3%2583%2583%25E3%2583%2588+2016-03-19+0.18.23.png)
ふむ、B評価か。特にDHキー鍵が 1024bitなのが評価が大きく下がっている所ですね。
設定は
ssl_prefer_server_ciphers on;
ssl_ciphers AESGCM:HIGH:!aNULL:!MD5;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
あたりです。
それをサイトをみて、赤文字を追加し、
- openssl dhparam 2048 -out dhparam.pem
コマンドで 2048bitの DH鍵を作成すると・・・・
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE+RSAGCM:ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:!aNULL!eNull:!EXPORT:!DES:!3DES:!MD5:!DSS;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;';
ふむ、マジでした...
2016年3月18日 @kimipooh
0 件のコメント:
コメントを投稿