SSL脆弱性/セキュリティ設定
昨今POODLEやらFREAKやらと大きめなOpenSSLの脆弱性が多発していました。
最近では安定しているようですが、稀に発生しています。
パッケージそのものは現在はパッチが適用されており、セキュリティに問題があるものはないかと思われます。
ただしapacheやPostfixでのSSL設定を正しく行わないといけません。
今回はその設定と確認について便利なサイト紹介を行います。
せっかくですので、まずは状況確認 -> 設定 -> 再度確認という流れで行いましょう
設定でこんなに変わるものかと感動します。
SSLの状況確認
現在のサイトのSSL設定について確認を行うにはSSL Server Testが便利です。
入力フォームにドメインを入力してエンターを押すだけで利用できます。
チェックに多少時間がかかりますが、辛抱強く待ちましょう。
正しく設定されていれば結果がAと表示されます。
もし結果がA出なかった場合には次の設定へ進んでください。
SSL設定作成
こちらで紹介するのは、Mozilla SSL Configuration Generatorです。
サイトへアクセスを行い、apacheのバージョンと利用しているミドルウェアとssl証明書を指定します。
一般的にはデフォルトの設定である、Apache, Intermediateで良いのではないでしょうか。
apacheとopen sslのバージョンの確認方法は以下です。
[root@hoge ~]# openssl version [root@hoge ~]# httpd -v
出力についてはセキュリティ的な観点から割愛しています。
apacheのバージョンとopen sslのバージョンを入力したらエンターを押しましょう。
そうすると画面中央に出ている設定内容を動的に変更してくれます。
あとはこの設定をサーバ常にあるssl設定を行っている箇所へ貼り付ければ完了です。
設定が完了したら、再度確認サイトで設定を確認してください、おそらく緑になっているとおもいます。
あとがき
今回はライトな設定を行いました。
しかしこういうものが地味に品質をあげたりするものですよね。
脆弱性対応なのものではありますが。
今回はHTTPS通信について設定を行いましたが、メールサーバとして稼働させておりそこにsmtpsやimapsなどで利用している場合そちら側も設定が必要なので忘れないようにしましょう。
私はしばらくの間ずっと忘れておりました。