Mozilla SSL Configuration Generator でSSL楽々設定


黙っていてもQualys SSL LABS SSL Server TestでA評価を貰えるKUSANAGIですが、できればWEAKという文字列は見たくないもの。そこで、nginxのconfigをいい感じにジェネレートしてくれるMozilla SSL Configuration Generatorの力を借りることに。

Get Started with HTTP/2

現在のミドルウェア・ライブラリのバージョン確認

Mozilla SSL Configuration Generator はApache Nginx Lighttpd HAProxy AWS ELBからそれぞれモダンな設定、古い設定、その中間の設定をよろしくジェネレートしてくれる。HSTSの有効 無効もチェックボックスを入れるだけ。

その前に、設定対象サーバーへログインして、現在のミドルウェア・ライブラリのバージョン確認をしてみましょう。なお、KUSANAGIをお使いの方はご存知かと思いますが、NginxとApacheどっちで動いていても同じコマンドで確認できるように、下のコマンドではプロセス置換を使ってます。 lsof コマンドがインストールされていなければ、 root ユーザーで yum install lsof しましょう。

Nginxのバージョン確認

OpenSSLのバージョン確認

それぞれのバージョン番号を確認したら、ジェネレートする。


こぴぺ

こんな風にジェネレートされますが、せっかくバーチャルホスト設定があるのですから、何も考えずにこれをコピペせず、

ssl_protocols

ssl_ciphers

のそれぞれの行をよろしく編集しましょう。本来であれば、暗号プロトコルや暗号セットを正しく理解するのが一番ですが、、、。