<VirtualHost *:443>
中略
SSLEngine on
# // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
SSLCertificateFile /etc/ssl/chain.crt
SSLCertificateKeyFile /etc/ssl/server.key
# // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(CBC危殆化重視)」
SSLCipherSuite "EECDH+AESGCM:RSA+AESGCM:RC4-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH"
# // 3) プロトコルはTLSv1.xとSSLv3
SSLProtocol All -SSLv2
# // 4) 暗号スイート順序サーバー優先
SSLHonorCipherOrder On
# // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ
SSLCompression off
# // 以下、3項目は必要に応じオプションで設定
# // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考
# // https://projects.dm.id.lv/s/pkp-online/calculator.html
# Header always set Public-Key-Pins "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains"
# // 7) HSTSの設定(max-age 6ヶ月)
# Header always set Strict-Transport-Security 'max-age=15724800; includeSubDomains'
# // 8) OCSP Stapling設定
# // 設定はグローバルサイン社のサイトなどが参考になります
# // https://sslcheck.globalsign.com/ja/help/26d15ece
# SSLUseStapling On
# SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
</VirtualHost>
