Skip to main content.
仕事上で扱ってるサイトにSSLを導入するという運びになったわけですが、これまでApacheでは入れたことあったんですが、nginxでは入れたことが無かったのでいろいろググってみた。

んで、設定をわっちゃわっちゃいじってGlobalSingのSSLチェックで確認。

SSL Server Test (Powered by Qualys SSL Labs)
https://globalsign.ssllabs.com/

ssl_ciphers メモ


最初B判定だったのをいじった結果、A判定を取ったので、その時の設定をメモメモ。

server {
listen 443;
server_name hogehoge.com;
〜〜〜
〜〜〜

ssl on;
ssl_certificate /home/hogehoge/ssl/cert.pem;
ssl_certificate_key /home/hogehoge/ssl/cert.key;

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:!DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:!DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:!DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK";
〜〜〜
〜〜〜
〜〜〜
}


BEAST対応はできてないんですが、「RC4が防げていればまぁとりあえずOK」みたいな記事をチラホラ見かけたのでとりあえずはこのままで行こうかなと思う次第。
ASCII.jp:Google HTTPS暗号化サイトの検索順位優遇を発表
http://ascii.jp/elem/000/000/922/922183/?mail


記事を読む限りではあんまり気にしなくても良さそうですな。
会員情報扱う場合にSSL無かったら評価下がるとか、実質そんなところじゃなかろうかと。

記事内で指摘があったように、「SSLを入れればSEO上有利ですYO!うちなら格安で導入しますYO!」っていうメルマガは確かに出てきそうですなー。

まぁでもこれを機にSSLをちゃんと入れておこうと思うサイトが増えるならそれはそれでアリな気もします。

Googleは確かOpenSSLから派生させたBoringSSLに移行するって話が先月くらいにあったから、Heartbleed問題が出てからいろいろSSL周りで活発に動いてはるんかなぁと。

周りのSEO業者でSSLについてどーのこーの言ってるところはあんまり無いんですが、これもいずれはSSL入れましょーって言ってくるんかな?(・`ω・´ )


[備考]
GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラッシュドット・ジャパン セキュリティ

ハートブリード - Wikipedia
久しぶりにサーバにSSLサーバ証明書を入れることになったので、「パスフレーズ毎回入れるのめんどいな〜。なんか無視する方法無いんかな〜。」と思ってググってみたらあったとは。

ググってみるもんですね(゜-゜)

ここのURLを参考にしてみました。

Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.
http://www.maruko2.com/mw/Apache/SSL%E8%87%AA%E5%B7%B...


で、以下はまるまるコピペという名の引用。




秘密鍵 (server.key) ファイルをあらかじめ復号化しておく方法

server.key の名前を変更する。

# mv server.key server.key.back
次のコマンドでパスフレーズを解除する。

# openssl rsa -in server.key.back > server.key
パスフレーズの入力を求められるので、パスフレーズを入力する。

Enter pass phrase for server.key.back:パスフレーズ
writing RSA key


Apache起動時のパスフレーズ入力を自動化する方法


SSLPassPhraseDialog ディレクティブで、パスフレーズを標準出力するような外部コマンドを指定し、パスフレーズを自動入力するように設定する。

外部コマンドは何でもよいので、簡単なシェルスクリプトを用意する。
例えば下記のような内容のファイル /etc/httpd/conf.d/pass-phrase.sh を作り、パーミッションを 500 にする。

#!/bin/sh
echo "パスフレーズ"

SSLPassPhraseDialog ディレクティブは次のように指定する。

#SSLPassPhraseDialog builtin
SSLPassPhraseDialog exec:/etc/httpd/conf.d/pass-phrase.sh



shファイルを作る方法で試してみたらうまくいきました。
もっと早めに知っておきたかった。
«Prev || 1 · | Next»