*

SSL脆弱性/セキュリティ設定

公開日: : 投稿者:raru CentOS7, Linux, サーバ

昨今POODLEやらFREAKやらと大きめなOpenSSLの脆弱性が多発していました。
最近では安定しているようですが、稀に発生しています。

パッケージそのものは現在はパッチが適用されており、セキュリティに問題があるものはないかと思われます。
ただしapacheやPostfixでのSSL設定を正しく行わないといけません。

今回はその設定と確認について便利なサイト紹介を行います。
せっかくですので、まずは状況確認 -> 設定 -> 再度確認という流れで行いましょう
設定でこんなに変わるものかと感動します。

SSLの状況確認

現在のサイトのSSL設定について確認を行うにはSSL Server Testが便利です。
入力フォームにドメインを入力してエンターを押すだけで利用できます。
チェックに多少時間がかかりますが、辛抱強く待ちましょう。

正しく設定されていれば結果がAと表示されます。
もし結果がA出なかった場合には次の設定へ進んでください。

SSL設定作成

こちらで紹介するのは、Mozilla SSL Configuration Generatorです。

サイトへアクセスを行い、apacheのバージョンと利用しているミドルウェアとssl証明書を指定します。
一般的にはデフォルトの設定である、Apache, Intermediateで良いのではないでしょうか。

apacheとopen sslのバージョンの確認方法は以下です。

[root@hoge ~]# openssl version
[root@hoge ~]# httpd -v

出力についてはセキュリティ的な観点から割愛しています。

apacheのバージョンとopen sslのバージョンを入力したらエンターを押しましょう。
そうすると画面中央に出ている設定内容を動的に変更してくれます。

あとはこの設定をサーバ常にあるssl設定を行っている箇所へ貼り付ければ完了です。

設定が完了したら、再度確認サイトで設定を確認してください、おそらく緑になっているとおもいます。

あとがき

今回はライトな設定を行いました。
しかしこういうものが地味に品質をあげたりするものですよね。
脆弱性対応なのものではありますが。

今回はHTTPS通信について設定を行いましたが、メールサーバとして稼働させておりそこにsmtpsやimapsなどで利用している場合そちら側も設定が必要なので忘れないようにしましょう。
私はしばらくの間ずっと忘れておりました。

関連記事

no image

yum使いがハマるaptitudeの罠 update

最近までaptitudeの使い方に関して大いなる勘違いをしていました。 yum使いの皆様も私と同様

記事を読む

no image

rsyncでsshの鍵を指定してデータ転送

今回は旧サーバから新サーバへいろいろ移設するために便利なrsyncの設定です。 設定というほどのも

記事を読む

no image

CentOS7 Postfix+Dovecot+SSL/TLS 設定

今回は禁断のメール設定です。 メールは他に比べて設定がわかりづらいし、連携するミドルウェアが多いし

記事を読む

no image

CentOSにSSH鍵認証で接続するGitリポジトリを作成

今回友人と共同開発を行なうと思い、ざっくりとGitサーバを建ててみました。 私はSVNの方が好きな

記事を読む

no image

個人でのProxyサーバ利用用途

Proxyサーバを建てたいということで、利用用途を考えていました。 まずサイト高速化であったり冗長

記事を読む

no image

OpenDKIMを利用したメール認証

今回はOpenDKIMを利用したメール認証設定を行います。 DKIMやらSPFやら、メールは何かと

記事を読む

no image

ZabbixからsSMTPを利用してエラー通知メール送信

今回はsSMTPを利用してRaspbian上のZabbix Serverからアラートメールの送信を行

記事を読む

no image

SPFの送受信設定

今回はSPFの設定を行います。 SPFとは何かということについてはここでは割愛しますが、メールの送

記事を読む

no image

CentOSで不要カーネルの削除

サーバを利用して時間が経過すると溜まってくるLinuxのkernelの削除方法の備忘録。 忘れるた

記事を読む

no image

CentOS6にredmineを導入

CentOSにredmineを導入しました。 Gitとの連携を目論んでいたのですが、redmine

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

PAGE TOP ↑