「レガシーを含む高互換性対応でBEAST等のCBCモード危殆化対策を重視する場合」のlighttpdのSSL設定例


server.modules = ("mod_setenv")
$SERVER["socket"] == "0.0.0.0:443" {
    ssl.engine = "enable"
    # 中略
    # // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
    # 秘密鍵とサーバー証明書PEMファイルの連結
    ssl.pemfile = "/etc/ssl/serverkey_cert.pem"
    # 中間CA証明書PEMファイルの連結
    ssl.ca-file = "/etc/ssl/ca.crt"
    # // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(CBC危殆化対応重視)」
    ssl.cipher-list = "EECDH+AESGCM:RSA+AESGCM:RC4-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH"
    # // 3) プロトコルはTLSv1.xのみ 
    ssl.use-sslv2 = "disable"
    # // 4) 暗号スイート順序サーバー優先 
    ssl.honor-cipher-order = "enable"
    # // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ 
    ssl.use-compression = "disable"    
    # // 以下、3項目は必要に応じオプションで設定 
    # setenv.add-response-header = (
    #     # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考 
    #     # // https://projects.dm.id.lv/s/pkp-online/calculator.html 
    #     "Public-Key-Pins" =>
    #         "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains",
    #     # // 7) HSTSの設定(max-age 6ヶ月) 
    #     "Strict-Transport-Security" => 
    #         "max-age=15724800; includeSubDomains"
    # )
    # // 8) OCSP Stapling設定 
    # //    lighttpdではOCSP Staplingはまだサポートされていません
}
最終更新:2014年11月25日 22:40