mod_ssl에서 사용하는 SSLCipherSuite의 설정을 채우고 '20
SSLCipherSuite 검토의 필요성
7월 7일자로 「TLS 설정 가이드라인」이 개정된 것으로부터, 이전에 기재한 설정으로부터의 재검토를 실시해 본다.
전제
CentOS 7.8에서 이용되고 있는 OpenSSL 1.0.2k에서는 TLS 1.3을 서포트하고 있지 않기 때문에, TLS 1.2만을 이용해, 「권장 보안형」설정 정도를 목표로 한다.
설정 확인
이전 설정 확인
우선은 이전의 설정으로 어떻게 되는지를 확인해 본다.
ssl.confSSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite SSL!3DES:!aNULL:EDH+HIGH:ECDH+HIGH:-AES128:-DSS
SSL Server Test에서 확인하면, 일년 전은 A였던 평가가 B가 되어 버렸다.
Cipher Suite의 평가도 WEAK로 표시되어 있는 것이 있다.
엄격하게 설정
「고시큐리티형에서의 이용 추천 암호화 알고리즘 일람」에서는 PFS(Perfect Forward Secrecy)가 필수로 GCM 추천, 해시 함수는 SHA256(이상) 필수와 같이, 간단하게 아래와 같은 설정을 시험해 본다.
ECDHE가 DHE보다 바람직하기 때문에 그 부분도 일단 반영시킨다.
$ openssl ciphers -v '!SSLv3:!DSS:AESGCM+ECDHE:AESGCM+EDH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
화상은 생략하지만, 평가 A가 되어, 브라우저의 호환성도 대략 문제 없도록 느낀다. 라는 것으로 설정은 완료.
지원 브라우저 늘리기
일단 오래된 iOS, macOS 지원을 위해 설정을 완화해 본다. WEAK로 평가되지만, 지침에는 문제가 없다.
$ openssl ciphers -v '!SSLv3:!DSS:AESGCM+ECDHE:AESGCM+EDH:EDH+AES256+SHA256'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
설정할 내용
라는 이유로 다음과 같은 설정으로 하기로 했다.
ssl.confSSLProtocol -all TLSv1.2
SSLCipherSuite !SSLv3:!DSS:AESGCM+ECDHE:AESGCM+EDH:EDH+AES256+SHA256
Reference
이 문제에 관하여(mod_ssl에서 사용하는 SSLCipherSuite의 설정을 채우고 '20), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/papillon/items/41ab9ae096826c665ac5
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
CentOS 7.8에서 이용되고 있는 OpenSSL 1.0.2k에서는 TLS 1.3을 서포트하고 있지 않기 때문에, TLS 1.2만을 이용해, 「권장 보안형」설정 정도를 목표로 한다.
설정 확인
이전 설정 확인
우선은 이전의 설정으로 어떻게 되는지를 확인해 본다.
ssl.confSSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite SSL!3DES:!aNULL:EDH+HIGH:ECDH+HIGH:-AES128:-DSS
SSL Server Test에서 확인하면, 일년 전은 A였던 평가가 B가 되어 버렸다.
Cipher Suite의 평가도 WEAK로 표시되어 있는 것이 있다.
엄격하게 설정
「고시큐리티형에서의 이용 추천 암호화 알고리즘 일람」에서는 PFS(Perfect Forward Secrecy)가 필수로 GCM 추천, 해시 함수는 SHA256(이상) 필수와 같이, 간단하게 아래와 같은 설정을 시험해 본다.
ECDHE가 DHE보다 바람직하기 때문에 그 부분도 일단 반영시킨다.
$ openssl ciphers -v '!SSLv3:!DSS:AESGCM+ECDHE:AESGCM+EDH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
화상은 생략하지만, 평가 A가 되어, 브라우저의 호환성도 대략 문제 없도록 느낀다. 라는 것으로 설정은 완료.
지원 브라우저 늘리기
일단 오래된 iOS, macOS 지원을 위해 설정을 완화해 본다. WEAK로 평가되지만, 지침에는 문제가 없다.
$ openssl ciphers -v '!SSLv3:!DSS:AESGCM+ECDHE:AESGCM+EDH:EDH+AES256+SHA256'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
설정할 내용
라는 이유로 다음과 같은 설정으로 하기로 했다.
ssl.confSSLProtocol -all TLSv1.2
SSLCipherSuite !SSLv3:!DSS:AESGCM+ECDHE:AESGCM+EDH:EDH+AES256+SHA256
Reference
이 문제에 관하여(mod_ssl에서 사용하는 SSLCipherSuite의 설정을 채우고 '20), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/papillon/items/41ab9ae096826c665ac5
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite SSL!3DES:!aNULL:EDH+HIGH:ECDH+HIGH:-AES128:-DSS
$ openssl ciphers -v '!SSLv3:!DSS:AESGCM+ECDHE:AESGCM+EDH'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
$ openssl ciphers -v '!SSLv3:!DSS:AESGCM+ECDHE:AESGCM+EDH:EDH+AES256+SHA256'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
라는 이유로 다음과 같은 설정으로 하기로 했다.
ssl.conf
SSLProtocol -all TLSv1.2
SSLCipherSuite !SSLv3:!DSS:AESGCM+ECDHE:AESGCM+EDH:EDH+AES256+SHA256
Reference
이 문제에 관하여(mod_ssl에서 사용하는 SSLCipherSuite의 설정을 채우고 '20), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/papillon/items/41ab9ae096826c665ac5텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)