*

SSL脆弱性/セキュリティ設定

公開日: : 投稿者:raru CentOS7, Linux, サーバ

昨今POODLEやらFREAKやらと大きめなOpenSSLの脆弱性が多発していました。
最近では安定しているようですが、稀に発生しています。

パッケージそのものは現在はパッチが適用されており、セキュリティに問題があるものはないかと思われます。
ただしapacheやPostfixでのSSL設定を正しく行わないといけません。

今回はその設定と確認について便利なサイト紹介を行います。
せっかくですので、まずは状況確認 -> 設定 -> 再度確認という流れで行いましょう
設定でこんなに変わるものかと感動します。

SSLの状況確認

現在のサイトのSSL設定について確認を行うにはSSL Server Testが便利です。
入力フォームにドメインを入力してエンターを押すだけで利用できます。
チェックに多少時間がかかりますが、辛抱強く待ちましょう。

正しく設定されていれば結果がAと表示されます。
もし結果がA出なかった場合には次の設定へ進んでください。

SSL設定作成

こちらで紹介するのは、Mozilla SSL Configuration Generatorです。

サイトへアクセスを行い、apacheのバージョンと利用しているミドルウェアとssl証明書を指定します。
一般的にはデフォルトの設定である、Apache, Intermediateで良いのではないでしょうか。

apacheとopen sslのバージョンの確認方法は以下です。

[root@hoge ~]# openssl version
[root@hoge ~]# httpd -v

出力についてはセキュリティ的な観点から割愛しています。

apacheのバージョンとopen sslのバージョンを入力したらエンターを押しましょう。
そうすると画面中央に出ている設定内容を動的に変更してくれます。

あとはこの設定をサーバ常にあるssl設定を行っている箇所へ貼り付ければ完了です。

設定が完了したら、再度確認サイトで設定を確認してください、おそらく緑になっているとおもいます。

あとがき

今回はライトな設定を行いました。
しかしこういうものが地味に品質をあげたりするものですよね。
脆弱性対応なのものではありますが。

今回はHTTPS通信について設定を行いましたが、メールサーバとして稼働させておりそこにsmtpsやimapsなどで利用している場合そちら側も設定が必要なので忘れないようにしましょう。
私はしばらくの間ずっと忘れておりました。

関連記事

no image

CentOS6にredmineを導入

CentOSにredmineを導入しました。 Gitとの連携を目論んでいたのですが、redmine

記事を読む

no image

RaspberryPi2のFedora22にOpenVPN構築

コツコツと以前購入してoverclockしたraspberry pi2にOpenVPNを構築していま

記事を読む

no image

CentOSにSSH鍵認証で接続するGitリポジトリを作成

今回友人と共同開発を行なうと思い、ざっくりとGitサーバを建ててみました。 私はSVNの方が好きな

記事を読む

no image

RaspbianのZabbix ServerにZabbix Agentをインストール

前回の記事でRaspbianにZabbixサーバをインストールしてみました。 今回はzabbi

記事を読む

no image

Raspberry Pi 2(Raspbian) 初期設定

性懲りもせずにRaspberry pi2を購入しました。 初代に比べて相当スペックが向上しており、

記事を読む

no image

Raspberry Piのpidoraをセットアップ

以前私はRaspberry PiにPidoraを入れたのですが、初期設定をしたつもりになっていてして

記事を読む

no image

Raspbianをwheezyからjessieにアップグレード

2015/04頃にdebianのバージョン8 jessieがリリースされたようです。 それに伴い、

記事を読む

no image

CentOS6 初期設定

自宅に置いてある安鯖にCentOS6を入れて初期設定を行ないました。 前提条件/設定項目

記事を読む

no image

CentOSで不要カーネルの削除

サーバを利用して時間が経過すると溜まってくるLinuxのkernelの削除方法の備忘録。 忘れるた

記事を読む

no image

DDNS(No-IP)をcronで更新

DDNSを利用してzabbix agentを導入できないかと思い、ひとまずDDNSの設定を行いました

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

PAGE TOP ↑