Qualys SSL Labs で A もらうまでやったこと


環境

  • CentOS 6.6
  • Apache/2.4.12
  • Lets encrypt で取得した証明書

対応

最後にまとめてあるので一番下の項目だけ見ても OK です。

Qualys SSL labs

ここで SSL の暗号方式の強さの評価ができます。
情報を公開したくなければチェック入れれば OK です。

Poodle 対策(SSLv3をOFF)

httpd.conf
SSLProtocol all -SSLv2 -SSLv3

この時点で F 評価

Padding oracle attack対策

openssl のバージョンが古かったら

yum update openssl

この時点で C 評価

弱い Cipher の制御

httpd.conf
SSLCipherSuite ALL:!EXP!MD5!RC4!ADH!DSS:+HIGH:!eNULL:!aNULL:!AES256-SHA256:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA

この時点で A- 評価

ここで検索を駆使していいサイト見つける

結局全部これに変えました笑。

httpd.conf
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLCompression Off

これで A になりました。