cakephperの日記(CakePHP, Laravel, PHP) Twitter


継続的WebセキュリティテストサービスVAddyを始めました!

2015-08-14

ApacheやNginxのSSL関連のおすすめ設定を生成する便利サイト

ApacheやNginxとopensslのバージョンを指定するとおすすめの暗号スイートなど、SSL設定ファイルを表示してくれるMozillaのサイトがあります。

https://mozilla.github.io/server-side-tls/ssl-config-generator/

f:id:cakephper:20150814095815p:image:w640


これを使えば安全な暗号スイートのみを使ってる設定などが簡単に生成されますので、この通りに指定すれば良いです。

Apacheの場合はデフォルトでは暗号スイート設定の記述はなかったと思いますが、下記の3つは表示通りに指定しておくのが良いかと思います。

SSLProtocol

SSLCipherSuite

SSLHonorCipherOrder


Oldを選択すると、古いブラウザにも対応してる暗号スイートを含めます。ただ暗号強度が弱いものが含まれるためサイトのアクセス傾向をみて古いブラウザのアクセスが無いのであればOldは選択しないほうが良いと思います。

トラックバック - http://d.hatena.ne.jp/cakephper/20150814/1439513819