パソコン鳥のブログ

アクセスカウンタ

zoom RSS WEBサーバのSSLチェックページと、検出された問題の対応方法

<<   作成日時 : 2015/12/01 18:18   >>

トラックバック 0 / コメント 0

WEBサーバのSSLチェック(証明書・プロトコル・暗号スイート確認)をしてくれるページの紹介と、そこで指摘された事項の対応方法の説明です。


WEBサーバのSSLチェック


SSLチェックは下記ページでチェックできます。

SSLチェック【証明書・プロトコル・暗号スイート確認】

アクセス後に下記箇所で、チェックしたいサーバのホスト名をFQDNで入れ、チェックを「無料でご利用いただけますが「ご注意・制約事項」を確認下さい 」に入れて「SSLチェック実行」ボタンを押します。

画像



しばらくすると、結果が表示されます。



チェック結果で問題があった場合の対処方法



「SSL証明書 確認」の箇所


問題ある場合は、「非推奨の設定が見つかりました。次回の証明書更新時に変更をご検討ください。」と表示されます。

「署名アルゴリズム」の箇所で、下記のように「sha1WithRSAEncryption → SHA-1からSHA-2への移行が推奨されています」と表示された場合は、SHA-1証明書が使用されています。
この場合は、2017年1月1日までに SHA-2証明書への移行が必要です。
Windows では 2017年1月1日以降、SHA1証明書サイトへのSSL通信が接続拒否されてしまいます。

画像


自己署名証明書(オレオレ証明書)の場合は、下記記事を参照して SHA-2証明書に差し替えて下さい。

SHA-2証明書の作成方法・サーバ証明書がSHA-2証明書になっているかの確認方法 パソコン鳥のブログ/ウェブリブログ



「プロトコル接続可否の確認」の箇所


問題ある場合は、「脆弱性のあるプロトコルを使用している可能性があります。ご確認ください。」と表示されます。

「SSLv2」や「SSLv3」の箇所で、下記のように「プロトコル「SSLv3」に脆弱性あり」と表示された場合は、問題あるプロトコル SSLv2 や SSLv3 を無効にする必要があります。

画像


WEBサーバが apache の場合は、下記記事の「apache で SSLv3 を無効にする」の手順で、プロトコル SSLv2 , SSLv3 を無効にして下さい。

SSLv3 に関する脆弱性(POODLE 攻撃)への対処 パソコン鳥のブログ/ウェブリブログ



「暗号化スイート接続可否の確認」の箇所


問題ある場合は、「脆弱性または強度が弱い暗号化スイートを使用している可能性があります。ご確認ください。」と表示されます。
問題ある暗号スイートでは、「接続可否」の箇所が下記のように、 のアイコンが表示されます。

画像



問題のある暗号化スイートで接続できない様にする必要があります。

apache の場合は、ssl.confファイルの SSLCipherSuite で設定します。
CentOS では /etc/httpd/conf.d/ssl.conf 、Ubuntu では /etc/apache2/mods-available/ssl.conf です。

ssl.conf の SSLCipherSuite に、!XXXXX の書式で暗号スイートを追加します。
「!」が付いた暗号化スイートが、除外されます。暗号化スイートは、「:」で区切ります。


SSLCipherSuite ALL:!XXXXX:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW


例えば、DES-CBC-SHA と RC4-SHA を除外する場合は、太字の箇所を追加します。

SSLCipherSuite ALL:!RC4-SHA:!DES-CBC-SHA:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW


設定後、apache を reload します。



以上、WEBサーバのSSLチェックをしてくれるページの紹介と、そこで指摘された事項の対応方法の説明でした。

参考


ApacheでOpenSSLのセキュリティを強化する - Qiita


テーマ

関連テーマ 一覧


月別リンク

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
WEBサーバのSSLチェックページと、検出された問題の対応方法 パソコン鳥のブログ/BIGLOBEウェブリブログ
文字サイズ:       閉じる