*

SSL脆弱性/セキュリティ設定

公開日: : 投稿者:raru CentOS7, Linux, サーバ

昨今POODLEやらFREAKやらと大きめなOpenSSLの脆弱性が多発していました。
最近では安定しているようですが、稀に発生しています。

パッケージそのものは現在はパッチが適用されており、セキュリティに問題があるものはないかと思われます。
ただしapacheやPostfixでのSSL設定を正しく行わないといけません。

今回はその設定と確認について便利なサイト紹介を行います。
せっかくですので、まずは状況確認 -> 設定 -> 再度確認という流れで行いましょう
設定でこんなに変わるものかと感動します。

SSLの状況確認

現在のサイトのSSL設定について確認を行うにはSSL Server Testが便利です。
入力フォームにドメインを入力してエンターを押すだけで利用できます。
チェックに多少時間がかかりますが、辛抱強く待ちましょう。

正しく設定されていれば結果がAと表示されます。
もし結果がA出なかった場合には次の設定へ進んでください。

SSL設定作成

こちらで紹介するのは、Mozilla SSL Configuration Generatorです。

サイトへアクセスを行い、apacheのバージョンと利用しているミドルウェアとssl証明書を指定します。
一般的にはデフォルトの設定である、Apache, Intermediateで良いのではないでしょうか。

apacheとopen sslのバージョンの確認方法は以下です。

[root@hoge ~]# openssl version
[root@hoge ~]# httpd -v

出力についてはセキュリティ的な観点から割愛しています。

apacheのバージョンとopen sslのバージョンを入力したらエンターを押しましょう。
そうすると画面中央に出ている設定内容を動的に変更してくれます。

あとはこの設定をサーバ常にあるssl設定を行っている箇所へ貼り付ければ完了です。

設定が完了したら、再度確認サイトで設定を確認してください、おそらく緑になっているとおもいます。

あとがき

今回はライトな設定を行いました。
しかしこういうものが地味に品質をあげたりするものですよね。
脆弱性対応なのものではありますが。

今回はHTTPS通信について設定を行いましたが、メールサーバとして稼働させておりそこにsmtpsやimapsなどで利用している場合そちら側も設定が必要なので忘れないようにしましょう。
私はしばらくの間ずっと忘れておりました。

関連記事

no image

RaspberryPi2のFedora22にOpenVPN構築

コツコツと以前購入してoverclockしたraspberry pi2にOpenVPNを構築していま

記事を読む

no image

Raspbianをwheezyからjessieにアップグレード

2015/04頃にdebianのバージョン8 jessieがリリースされたようです。 それに伴い、

記事を読む

no image

CentOS7にウイルスソフト(Clamd)を導入

今回はLinuxのウイルス対策ツールのClamdの導入を行いたいと思います。 Windowsマシン

記事を読む

no image

CentOS6 初期設定

自宅に置いてある安鯖にCentOS6を入れて初期設定を行ないました。 前提条件/設定項目

記事を読む

no image

CentOSにSSH鍵認証で接続するGitリポジトリを作成

今回友人と共同開発を行なうと思い、ざっくりとGitサーバを建ててみました。 私はSVNの方が好きな

記事を読む

no image

CentOS 7 で ruby on rails 環境構築

気づいたらCentOS7が出てから時間が立っていました。 そろそろ新しく建てるサーバはCentOS

記事を読む

no image

SPFの送受信設定

今回はSPFの設定を行います。 SPFとは何かということについてはここでは割愛しますが、メールの送

記事を読む

no image

CentOS6にredmineを導入

CentOSにredmineを導入しました。 Gitとの連携を目論んでいたのですが、redmine

記事を読む

no image

RaspberryPI3にCentOS7をインストール (mac利用)

いつの間にやらRaspberryPI 3が発売し、さらにはCentOSまでもがraspberry p

記事を読む

no image

RedmineからsSMTPでメールを送信

Redmineの管理画面にアクセスしたところメール通知設定は所定のファイルを編集しないとできないよう

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

PAGE TOP ↑