*

SSL脆弱性/セキュリティ設定

公開日: : 投稿者:raru CentOS7, Linux, サーバ

昨今POODLEやらFREAKやらと大きめなOpenSSLの脆弱性が多発していました。
最近では安定しているようですが、稀に発生しています。

パッケージそのものは現在はパッチが適用されており、セキュリティに問題があるものはないかと思われます。
ただしapacheやPostfixでのSSL設定を正しく行わないといけません。

今回はその設定と確認について便利なサイト紹介を行います。
せっかくですので、まずは状況確認 -> 設定 -> 再度確認という流れで行いましょう
設定でこんなに変わるものかと感動します。

SSLの状況確認

現在のサイトのSSL設定について確認を行うにはSSL Server Testが便利です。
入力フォームにドメインを入力してエンターを押すだけで利用できます。
チェックに多少時間がかかりますが、辛抱強く待ちましょう。

正しく設定されていれば結果がAと表示されます。
もし結果がA出なかった場合には次の設定へ進んでください。

SSL設定作成

こちらで紹介するのは、Mozilla SSL Configuration Generatorです。

サイトへアクセスを行い、apacheのバージョンと利用しているミドルウェアとssl証明書を指定します。
一般的にはデフォルトの設定である、Apache, Intermediateで良いのではないでしょうか。

apacheとopen sslのバージョンの確認方法は以下です。

[root@hoge ~]# openssl version
[root@hoge ~]# httpd -v

出力についてはセキュリティ的な観点から割愛しています。

apacheのバージョンとopen sslのバージョンを入力したらエンターを押しましょう。
そうすると画面中央に出ている設定内容を動的に変更してくれます。

あとはこの設定をサーバ常にあるssl設定を行っている箇所へ貼り付ければ完了です。

設定が完了したら、再度確認サイトで設定を確認してください、おそらく緑になっているとおもいます。

あとがき

今回はライトな設定を行いました。
しかしこういうものが地味に品質をあげたりするものですよね。
脆弱性対応なのものではありますが。

今回はHTTPS通信について設定を行いましたが、メールサーバとして稼働させておりそこにsmtpsやimapsなどで利用している場合そちら側も設定が必要なので忘れないようにしましょう。
私はしばらくの間ずっと忘れておりました。

関連記事

no image

CentOS7にGitLab 9をインストールして日本語化

最近CentOS7にGitLabを入れて、日本語化してみました。 最近9が出たようで、あまり参考に

記事を読む

no image

Raspberry Pi/ラズベリーパイ を注文しました

Linuxの学習用途にお勧めされているRaspberry Piを注文しました。 ラズベリーパイ

記事を読む

no image

ZabbixでSSL証明書期限チェック

zabbixは初期状態でhttps系の監視が微妙なため、証明書期限の監視設定などを行ってみたいと思い

記事を読む

no image

Raspbianでメール送信 ssmtp編

Raspbianで監視などをおこなっているとメールが送信したくなります。 とりあえず何かと管理用に

記事を読む

no image

CentOS7にwordpressを移行

前の記事で初期設定を行ったサーバにwordpressを移設します。 wordpressの移設は案外

記事を読む

no image

iptablesで特定のIPからの接続を遮断

WordPressを利用して作成しているこのブログなのですが、管理画面へのログインリンクがあるせいな

記事を読む

no image

CentOS6にredmineを導入

CentOSにredmineを導入しました。 Gitとの連携を目論んでいたのですが、redmine

記事を読む

no image

rsyncでsshの鍵を指定してデータ転送

今回は旧サーバから新サーバへいろいろ移設するために便利なrsyncの設定です。 設定というほどのも

記事を読む

no image

CentOS7 Postfix+Dovecot+SSL/TLS 設定

今回は禁断のメール設定です。 メールは他に比べて設定がわかりづらいし、連携するミドルウェアが多いし

記事を読む

no image

RaspberryPi2のFedora22にOpenVPN構築

コツコツと以前購入してoverclockしたraspberry pi2にOpenVPNを構築していま

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

PAGE TOP ↑