「レガシーを含む高互換性対応でRC4危殆化対策を重視する場合」のnginxのSSL設定例
server {
listen 443 ssl;
# // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
ssl_certificate /etc/ssl/chain.crt;
ssl_certificate_key /etc/ssl/server.key;
# // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(RC4危殆化重視)」
ssl_ciphers 'EECDH+AESGCM:RSA+AESGCM:EECDH+AES:AES:DES-CBC3-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH';
# // 3) プロトコルはTLSv1.xとSSLv3
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
# // 4) 暗号スイート順序サーバー優先
ssl_prefer_server_ciphers on;
# // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ
# // 設定では不能。nginx 1.2.2以降or1.3.2以降を使用。
# // 以下、3項目は必要に応じオプションで設定
# // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考
# // https://projects.dm.id.lv/s/pkp-online/calculator.html
# add_header Public-Key-Pins "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains";
# // 7) HSTSの設定(max-age 6ヶ月)
# add_header Strict-Transport-Security "max-age=15724800; includeSubDomains";
# // 8) OCSP Stapling設定
# // 設定はグローバルサイン社のサイトなどが参考になります
# // https://sslcheck.globalsign.com/ja/help/26d15ece
# ssl_stapling on;
# ssl_stapling_verify on;
# // OCSPの検証およびクライアント認証用CA証明書
# ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
# 後略
}
最終更新:2014年11月25日 22:38
