Submit Search
Upload
三大WebサーバーのSSL設定ベストプラクティス
•
Download as PPTX, PDF
•
3 likes
•
1,203 views
H
Hidetoshi Musha
Follow
OWASP Sendai 2017/07/12
Read less
Read more
Internet
Report
Share
Report
Share
1 of 31
Download now
Recommended
Spring Boot × Vue.jsでSPAを作る
Spring Boot × Vue.jsでSPAを作る
Go Miyasaka
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
yoku0825
忙しい人の5分で分かるMesos入門 - Mesos って何だ?
忙しい人の5分で分かるMesos入門 - Mesos って何だ?
Masahito Zembutsu
大規模Redisサーバ縮小化の戦い
大規模Redisサーバ縮小化の戦い
Yuto Komai
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
IO Architect Inc.
クラウド環境下におけるAPIリトライ設計
クラウド環境下におけるAPIリトライ設計
Kouji YAMADA
PostgreSQL Unconference #5 ICU Collation
PostgreSQL Unconference #5 ICU Collation
Noriyoshi Shinoda
どうする計画駆動型スクラム(スクラムフェス大阪2023 発表資料)
どうする計画駆動型スクラム(スクラムフェス大阪2023 発表資料)
NTT DATA Technology & Innovation
Recommended
Spring Boot × Vue.jsでSPAを作る
Spring Boot × Vue.jsでSPAを作る
Go Miyasaka
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
サーバーが完膚なきまでに死んでもMySQLのデータを失わないための表技
yoku0825
忙しい人の5分で分かるMesos入門 - Mesos って何だ?
忙しい人の5分で分かるMesos入門 - Mesos って何だ?
Masahito Zembutsu
大規模Redisサーバ縮小化の戦い
大規模Redisサーバ縮小化の戦い
Yuto Komai
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
20190222_インベントリ収集のオープンソースOpenAudITの機能紹介とIT資産管理で必要なこと
IO Architect Inc.
クラウド環境下におけるAPIリトライ設計
クラウド環境下におけるAPIリトライ設計
Kouji YAMADA
PostgreSQL Unconference #5 ICU Collation
PostgreSQL Unconference #5 ICU Collation
Noriyoshi Shinoda
どうする計画駆動型スクラム(スクラムフェス大阪2023 発表資料)
どうする計画駆動型スクラム(スクラムフェス大阪2023 発表資料)
NTT DATA Technology & Innovation
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
Atsushi Nakada
俺も エクストリームプログラミング入門
俺も エクストリームプログラミング入門
Fumihiko Kinoshita
ソフトウェア構成管理入門
ソフトウェア構成管理入門
智治 長沢
アメリカの超巨大クラウドの「中の人」に転生したガチ三流プログラマが米国システム開発の現実をリークする話
アメリカの超巨大クラウドの「中の人」に転生したガチ三流プログラマが米国システム開発の現実をリークする話
Tsuyoshi Ushio
マイクロサービスに至る歴史とこれから - XP祭り2021
マイクロサービスに至る歴史とこれから - XP祭り2021
Yusuke Suzuki
Redis勉強会資料(2015/06 update)
Redis勉強会資料(2015/06 update)
Yuji Otani
上司が信用できない会社の内部統制~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!...
上司が信用できない会社の内部統制~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!...
WebSig24/7
こんなに使える!今どきのAPIドキュメンテーションツール
こんなに使える!今どきのAPIドキュメンテーションツール
dcubeio
PMBOKガイド7をアジャイル屋はどう迎え撃つか?
PMBOKガイド7をアジャイル屋はどう迎え撃つか?
豆寄席 (株式会社豆蔵)
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
エンタープライズアジャイル勉強会 LeSS概要
エンタープライズアジャイル勉強会 LeSS概要
Takao Kimura
地理分散DBについて
地理分散DBについて
Kumazaki Hiroki
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
階層的決定性ウォレットを理解しよう
階層的決定性ウォレットを理解しよう
bitbank, Inc. Tokyo, Japan
Lean canvasを利用した製品ふりかえり 公開用抜粋
Lean canvasを利用した製品ふりかえり 公開用抜粋
Yuichiro Yamamoto
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Toru Makabe
Where狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキー
yoku0825
Entity Framework(Core)についての概要を学ぼう
Entity Framework(Core)についての概要を学ぼう
TomomitsuKusaba
WayOfNoTrouble.pptx
WayOfNoTrouble.pptx
Daisuke Yamazaki
レガシーコードの複雑さに立ち向かう~ドメイン駆動設計のアプローチ
レガシーコードの複雑さに立ち向かう~ドメイン駆動設計のアプローチ
増田 亨
[db tech showcase 2017 Tokyo] A23 - MySQLのセキュリティ関連機能の現状
[db tech showcase 2017 Tokyo] A23 - MySQLのセキュリティ関連機能の現状
Ryusuke Kajiyama
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
Developers Summit
More Related Content
What's hot
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
Atsushi Nakada
俺も エクストリームプログラミング入門
俺も エクストリームプログラミング入門
Fumihiko Kinoshita
ソフトウェア構成管理入門
ソフトウェア構成管理入門
智治 長沢
アメリカの超巨大クラウドの「中の人」に転生したガチ三流プログラマが米国システム開発の現実をリークする話
アメリカの超巨大クラウドの「中の人」に転生したガチ三流プログラマが米国システム開発の現実をリークする話
Tsuyoshi Ushio
マイクロサービスに至る歴史とこれから - XP祭り2021
マイクロサービスに至る歴史とこれから - XP祭り2021
Yusuke Suzuki
Redis勉強会資料(2015/06 update)
Redis勉強会資料(2015/06 update)
Yuji Otani
上司が信用できない会社の内部統制~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!...
上司が信用できない会社の内部統制~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!...
WebSig24/7
こんなに使える!今どきのAPIドキュメンテーションツール
こんなに使える!今どきのAPIドキュメンテーションツール
dcubeio
PMBOKガイド7をアジャイル屋はどう迎え撃つか?
PMBOKガイド7をアジャイル屋はどう迎え撃つか?
豆寄席 (株式会社豆蔵)
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
エンタープライズアジャイル勉強会 LeSS概要
エンタープライズアジャイル勉強会 LeSS概要
Takao Kimura
地理分散DBについて
地理分散DBについて
Kumazaki Hiroki
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
階層的決定性ウォレットを理解しよう
階層的決定性ウォレットを理解しよう
bitbank, Inc. Tokyo, Japan
Lean canvasを利用した製品ふりかえり 公開用抜粋
Lean canvasを利用した製品ふりかえり 公開用抜粋
Yuichiro Yamamoto
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Toru Makabe
Where狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキー
yoku0825
Entity Framework(Core)についての概要を学ぼう
Entity Framework(Core)についての概要を学ぼう
TomomitsuKusaba
WayOfNoTrouble.pptx
WayOfNoTrouble.pptx
Daisuke Yamazaki
レガシーコードの複雑さに立ち向かう~ドメイン駆動設計のアプローチ
レガシーコードの複雑さに立ち向かう~ドメイン駆動設計のアプローチ
増田 亨
What's hot
(20)
シリコンバレーの「何が」凄いのか
シリコンバレーの「何が」凄いのか
俺も エクストリームプログラミング入門
俺も エクストリームプログラミング入門
ソフトウェア構成管理入門
ソフトウェア構成管理入門
アメリカの超巨大クラウドの「中の人」に転生したガチ三流プログラマが米国システム開発の現実をリークする話
アメリカの超巨大クラウドの「中の人」に転生したガチ三流プログラマが米国システム開発の現実をリークする話
マイクロサービスに至る歴史とこれから - XP祭り2021
マイクロサービスに至る歴史とこれから - XP祭り2021
Redis勉強会資料(2015/06 update)
Redis勉強会資料(2015/06 update)
上司が信用できない会社の内部統制~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!...
上司が信用できない会社の内部統制~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!...
こんなに使える!今どきのAPIドキュメンテーションツール
こんなに使える!今どきのAPIドキュメンテーションツール
PMBOKガイド7をアジャイル屋はどう迎え撃つか?
PMBOKガイド7をアジャイル屋はどう迎え撃つか?
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
エンタープライズアジャイル勉強会 LeSS概要
エンタープライズアジャイル勉強会 LeSS概要
地理分散DBについて
地理分散DBについて
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
階層的決定性ウォレットを理解しよう
階層的決定性ウォレットを理解しよう
Lean canvasを利用した製品ふりかえり 公開用抜粋
Lean canvasを利用した製品ふりかえり 公開用抜粋
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Where狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキー
Entity Framework(Core)についての概要を学ぼう
Entity Framework(Core)についての概要を学ぼう
WayOfNoTrouble.pptx
WayOfNoTrouble.pptx
レガシーコードの複雑さに立ち向かう~ドメイン駆動設計のアプローチ
レガシーコードの複雑さに立ち向かう~ドメイン駆動設計のアプローチ
Similar to 三大WebサーバーのSSL設定ベストプラクティス
[db tech showcase 2017 Tokyo] A23 - MySQLのセキュリティ関連機能の現状
[db tech showcase 2017 Tokyo] A23 - MySQLのセキュリティ関連機能の現状
Ryusuke Kajiyama
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
Developers Summit
Ssl
Ssl
Net Kanayan
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
Soft layerと運用管理の自動化・省力化あれこれ
Soft layerと運用管理の自動化・省力化あれこれ
NHN テコラス株式会社
2019 0521 f-secure_radar_for_jaws-ug_yokohama
2019 0521 f-secure_radar_for_jaws-ug_yokohama
Shinichiro Kawano
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
Kenji Urushima
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
シスコシステムズ合同会社
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
Typhon 666
Symc solution overview_rev0.8
Symc solution overview_rev0.8
Takayoshi Takaoka
Symc solution overview_rev0.8
Symc solution overview_rev0.8
Takayoshi Takaoka
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
株式会社スカイアーチネットワークス
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
Kazuki Omo
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
Hiroshi Tokumaru
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 666
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
Kenji Urushima
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
Tomoyoshi Amano
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用
Lumin Hacker
Similar to 三大WebサーバーのSSL設定ベストプラクティス
(20)
[db tech showcase 2017 Tokyo] A23 - MySQLのセキュリティ関連機能の現状
[db tech showcase 2017 Tokyo] A23 - MySQLのセキュリティ関連機能の現状
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
Ssl
Ssl
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Soft layerと運用管理の自動化・省力化あれこれ
Soft layerと運用管理の自動化・省力化あれこれ
2019 0521 f-secure_radar_for_jaws-ug_yokohama
2019 0521 f-secure_radar_for_jaws-ug_yokohama
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
Symc solution overview_rev0.8
Symc solution overview_rev0.8
Symc solution overview_rev0.8
Symc solution overview_rev0.8
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用
Recently uploaded
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
Taka Narita
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ivanwang53
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
ivanwang53
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
ivanwang53
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
okitamasashi
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
ivanwang53
Recently uploaded
(6)
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
三大WebサーバーのSSL設定ベストプラクティス
1.
三大WebサーバーのSSL設定 ベストプラクティス 第16回OWASP Sendai ミーティング 2017年7月12日 武者英敏 ムードゥーセキュリティ株式会社
2.
自己紹介 ムードゥーセキュリティ株式会社代表取締役 設立
: 2014年2月3日 所在地 : 東京都渋谷区代々木2-16-15 新宿オークビル402 事業内容 : プラットフォーム診断、 WAF導入・運用支援、コンサルティング等 大学を卒業後、Snifferを取り扱う技術商社に入社後、デスクトップ IDSの日本語版テクニカルサポート担当をきっかけにセキュリティ関連 の業務に携わり、コンサルティングファームやSIerにてWebサイトや ネットワークのシステム構築行いつつ、WAFビジネスの立ち上げ・運 用、脆弱性診断、セキュリティコンサルティングに従事。 2013年から独立開業し、プラットフォーム脆弱性診断や、Imperva SecureSphere WAFの運用、セキュアなWebサイト構築コンサルティ ング等を行っている。 保有資格:CISSP 武者 英敏 2
3.
今回の内容 Qualys SSL LabsのSSL
Server Testを 使ってデモ Apache HTTP Server、nginx、 Microsoft IISのSSLベスト設定 SSLベストプラクティス 3
4.
デモ環境 -どれもほぼデフォルト状態 demo1.muudoo.co.jp CentOS
7.3 + Apache/2.4.6 (CentOS) + OpenSSL 1.0.1e-fips 11 demo2.muudoo.co.jp CentOS 7.3 + nginx/1.13.2 + OpenSSL 1.0.1e- fips 11 demo3.muudoo.co.jp Windows Server 2016 Datacenter Edition + Microsoft-IIS/10.0 4
5.
さっそくスキャン! 5 Qualys SSL Labs
SSL Server Test 暗号化強度やブラウザのサポート具合などもチェック 可能 無償サービス SSLサイトチェックの定番 A評価をもらう事が一つの指標 5 https://www.ssllabs.com/ssltest/
6.
6
7.
SSL Server Testの見方 Summary Certificate Protocol
Support Key Exchange Cipher Strength 7
8.
結果(default) - Apache
HTTP Server 8
9.
Apache HTTP Server設定ファイル
対策前 9 Listen 443 https ServerName demo1.muudoo.co.jp SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog SSLSessionCache shmcb:/run/httpd/sslcache(512000) SSLSessionCacheTimeout 300 SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin <VirtualHost _default_:443> ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateKeyFile /etc/pki/tls/private/localhost.key <Files ~ ".(cgi|shtml|phtml|php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory>
10.
Apache HTTP Server設定ファイル
対策後 10 Listen 443 https ServerName demo1.muudoo.co.jp ~ 省略 ~ SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000) <VirtualHost _default_:443> ~ 省略 ~ SSLEngine on SSLProtocol +TLSv1.1 +TLSv1.2 SSLCipherSuite HIGH:!MEDIUM:!LOW:!SSLv2:!RC4:!3DES:!IDEA:!aNULL SSLUseStapling on SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains" Header always set Public-Key-Pins "pin-sha256="nm6q++V0BkPWoK99nxq4w8RjMZltWNG/AtbywDVlp4c="; pin-sha256="Fec+HBJtWmgB77SLQRk5+R+FvMlN6RPXYrTdeaPuezE="; max-age=5184000; includeSubDomains" ~ 省略 ~ </VirtualHost>
11.
再スキャン - Apache
HTTP Server 11
12.
結果(default) - nginx 12
13.
nginx設定ファイル 対策前 対策後 13 ssl_protocols
SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_protocols TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!MEDIUM:!LOW:!SSLv2:!RC4:!3DES:!IDEA:!aNULL; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/ssl/certs/ca-bundle.crt; resolver 192.168.1.1; ssl_prefer_server_ciphers on; add_header Strict-Transport-Security max-age=15768000; add_header Public-Key-Pins 'pin-sha256="Fec+HBJtWmgB77SLQRk5+R+FvMlN6RPXYrTdeaPuezE="; pin-sha256="nm6q++V0BkPWoK99nxq4w8RjMZltWNG/AtbywDVlp4c="; max-age=5184000; includeSubDomains' always;
14.
再スキャン - nginx 14
15.
結果(default) - Microsoft/IIS 15
16.
対策 - Microsoft/IIS
(1) 16 IIS Crypto 2.0 https://www.nartac.com/Products/IISCrypto チェックボックスは以下のように設定
17.
対策 - Microsoft/IIS
(2) 17 HSTS設定
18.
対策 - Microsoft/IIS
(3) 18 HPKP設定
19.
対策 - Microsoft/IIS
(4) 19 Windows Server 2008以降でOCSP Staplingがデフォルトで サポートされている。 Cipher Orderは以下のように設定する。 ローカルグループポリシーエディターで、「管理用テンプレート」 > 「ネットワーク」 > 「SSL 構成設定」 > 「SSL 暗号の順位」を開 き、「有効」を選択します。
20.
対策 - Microsoft/IIS
(5) 20
21.
対策 - Microsoft/IIS
(6) 21
22.
再スキャン - Microsoft/IIS 22 ※IISがTLS_FALLBACK_SCSVをサポートしないため、現状ではIISでA+を取得できない。 ・
Internet Explorer should send TLS_FALLBACK_SCSV | Microsoft Connect https://connect.microsoft.com/IE/feedback/details/1002874/internet-explorer-should-send-tls-fallback-scsv
23.
その他 SSLの圧縮はしない HTTPSでもHTTP圧縮しない 23
24.
ベストプラクティス SSL and
TLS Deployment Best Practices Version 1.6-draft (31 March 2017) https://github.com/ssllabs/research/wiki/SSL-and-TLS- Deployment-Best-Practices 1. Private Key and Certificate 2. Configuration 3. Performance 4. HTTP and Application Security 5. Validation 6. Advanced Topics 24
25.
1. Private Key
and Certificate 公開鍵の強度 RSAはスケールしない RSA 2048bitがスタンダードだが112bit相当 ECDSA 256bitが128bitに相当 証明書の署名アルゴリズム 新規の場合、最近はどこもSHA256で署名 証明書チェーンにまだSHA-1で署名された証明書 がある 信頼できるCAを利用する 25
26.
2. Configuration 中間証明書を含むように証明書チェーンを設定 SSLv2、SSLv3は使用しない TLSv1もレガシープロトコル 強度の弱いCipherSuiteは使用しない 匿名DH、NULL、EXPORT、128bit以下、RC4、 3DES Forward
Secrecyなものを推奨 26
27.
3. Performance 複雑なこと・過剰なことはしない キャッシュ、セッション再開機能を利用 OCSP Staplingの有効化 暗号化・復号化が高速なECDSA(楕円曲線 DSA)を利用する 27
28.
4. HTTP and
Application Security 全部暗号化する HTTP/HTTPSの混在は禁止 Cookie対策(secure属性、httponly等) 圧縮禁止 HSTSの有効化 CSP(Content Security Policy)の検討 機密情報をキャッシュしない 28
29.
5. Validation SSL/TLSの設定が正しく行われているか チェック 脆弱性診断ツール Qualys SSL
Labs SSL Server Test 定期的に実施する 29
30.
6. その他 Public Key
Pinning DNSSEC and DANE(名前付きエンティ ティの DNS ベースの認証) 30
31.
おわり 31
Editor's Notes
443番ポート以外 非サポート
Download now