Let’s Encrypt+Nginx에서 SSL 평가를 A+로 하고 싶다!

Let’s Encrypt가 시작되어 SSL 도입 장애물이 훨씬 낮아졌습니다.
그만큼, SSL의 설정도 재검토할 필요성도 나옵니다.
SSL 평가를 할 수 있는 서비스, SSL Server Test 를 사용해 SSL 평가를 해 봅시다. 만약 F라면 요주의입니다.

Let’s Encrypt 소개

Let’s Encrypt의 SSL 인증서로 보안 웹사이트 공개
사쿠라 인터넷이 공개하고 있는 상기의 기사가 참고가 됩니다.
그러나, 위의 설정이라면 자신의 설정(CentOS6.8, nginx1.1.3)이라고 B였기 때문에 여러가지 조정했습니다.

조정 내용

server {
        listen 443 ssl http2;
        server_name ドメイン名;
        root /usr/share/nginx/html/ドメインで使うディレクトリ;
        index index.php index.html index.htm;

        ssl_certificate         /etc/letsencrypt/live/ドメイン名/fullchain.pem;
        ssl_certificate_key     /etc/letsencrypt/live/ドメイン名/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/ドメイン名/fullchain.pem;

        ssl_dhparam /etc/ssl/private/dhparam.pem;

        ssl_stapling on;
        ssl_stapling_verify on;
        resolver 8.8.4.4 8.8.8.8 valid=300s;
        resolver_timeout 10s;

        ssl_session_timeout 1d;
        ssl_session_cache shared:SSL:50m;

        ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK";
        ssl_prefer_server_ciphers  on;

        add_header Strict-Transport-Security max-age=15768000;
}

ssl_certificate를 cern.pem에서 fullchain.pem으로 변경하기 만하면됩니다.

ssl_dhparam은

sudo openssl dhparam 2048 -out /パス/dhparam.pem

에서 만듭니다.
디렉토리는/etc/ssl/private/를 만들었지만 필요에 따라 변경하십시오.

상기 설정 등은, 이하의 사이트등이 참고가 됩니다.
htps : // bg. Ksg. 네 t / po sts / ngin x-sekure-sl

상기 설정을 함으로써 A+가 되었습니다.

결론

만약 평가가 F라면 취약성 등이 있을지도 모르기 때문에 빨리 대응합시다.
새로운 취약성은 차례차례 나오므로, 몇 달이나 한 번 평가를 해보고, 만약 평가가 내려간 것 같으면 대응하는 것을 추천합니다.

Reference

이 문제에 관하여(Let’s Encrypt+Nginx에서 SSL 평가를 A+로 하고 싶다!), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/tanshio/items/e0acad2f29456dc30007

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다