ApacheのSSL設定を見直してセキュリティレベルを向上させる

OS: Ubuntu Server 18.04.1 LTS
Apache 2.4.35
OpenSSL 1.1.0g 2 Nov 2017

ApacheでSSLサーバ証明書の設定をこなしたけれども殆どデフォルトの儘に任せていたからQualysのSSL Server Testを実施するとこういう有様である。

前方秘匿性をサポートしていないからB判定という次第である。RSAによる鍵交換が有効になっていると此れは前方秘匿性が無いから誠に遺憾であってECDHE(楕円曲線ディフィー・ヘルマン鍵共有)を活用なさいという旨、記載があったけれども意味を飲み込める範疇を遥かに超えているのである。

こうなるとApacheの設定を如何にしたらいいかぜんぜん想像が及ばないから、も少し手軽に設定を何とかできないかと調べていくとMozilla SSL Configuration Generatorという大変心強いサイトをmozillaが用意して呉れていた。

Webサーバの種類とバージョン、OpenSSLのバージョンを選択してやるだけで設定をパッと示してくれるから実に有り難い仕組みである。Modern、Intermediate、Oldの選択肢はサポートするブラウザの後方互換性をどれだけ確保するか決定できる。Oldは随分昔のブラウザまで対応する代わりに脆弱性が確認されているSSLv3を使うし、Modernは今の所安心できそうなSSLプロトコルと暗号スイートで構えるけれども古いブラウザは切り捨ててゆく方針となるようである。

$ openssl version
OpenSSL 1.1.0g  2 Nov 2017

$ /usr/local/apache2/bin/httpd -v
Server version: Apache/2.4.35 (Unix)
Server built:   Oct  3 2018 13:34:46

パッと示された設定をうまい具合にhttp-ssl.confへ書き込んだらQualysのサイトへアクセスしてClear cacheをクリックし、再度SSL Server Testを執り行うと何だか分からないけれども大変よさそうな評価である。

検査結果

参考:
SSL Server Test (Powered by Qualys SSL Labs)
Mozilla SSL Configuration Generator
Security/Server Side TLS

Similar Posts:

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください