WEBサーバのSSLチェックページと、検出された問題の対応方法

ALL
スポンサーリンク

WEBサーバのSSLチェック(証明書・プロトコル・暗号スイート確認)をしてくれるページの紹介と、そこで指摘された事項の対応方法の説明です。

スポンサーリンク

WEBサーバのSSLチェック

SSLチェックは下記ページでチェックできます。

SSLチェック【証明書・プロトコル・暗号スイート確認】

アクセス後に下記箇所で、チェックしたいサーバのホスト名をFQDNで入れ、チェックを「無料でご利用いただけますが「ご注意・制約事項」を確認下さい 」に入れて「SSLチェック実行」ボタンを押します。

画像

しばらくすると、結果が表示されます。

チェック結果で問題があった場合の対処方法

「SSL証明書 確認」の箇所

問題ある場合は、「非推奨の設定が見つかりました。次回の証明書更新時に変更をご検討ください。」と表示されます。

「署名アルゴリズム」の箇所で、下記のように「sha1WithRSAEncryption → SHA-1からSHA-2への移行が推奨されています」と表示された場合は、SHA-1証明書が使用されています。
この場合は、2017年1月1日までに SHA-2証明書への移行が必要です。
Windows では 2017年1月1日以降、SHA1証明書サイトへのSSL通信が接続拒否されてしまいます。

画像

自己署名証明書(オレオレ証明書)の場合は、下記記事を参照して SHA-2証明書に差し替えて下さい。

SHA-2証明書の作成方法・サーバ証明書がSHA-2証明書になっているかの確認方法 パソコン鳥のブログ

「プロトコル接続可否の確認」の箇所

問題ある場合は、「脆弱性のあるプロトコルを使用している可能性があります。ご確認ください。」と表示されます。

「SSLv2」や「SSLv3」の箇所で、下記のように「プロトコル「SSLv3」に脆弱性あり」と表示された場合は、問題あるプロトコル SSLv2 や SSLv3 を無効にする必要があります。

画像

WEBサーバが apache の場合は、下記記事の「apache で SSLv3 を無効にする」の手順で、プロトコル SSLv2 , SSLv3 を無効にして下さい。

SSLv3 に関する脆弱性(POODLE 攻撃)への対処 パソコン鳥のブログ

「暗号化スイート接続可否の確認」の箇所

問題ある場合は、「脆弱性または強度が弱い暗号化スイートを使用している可能性があります。ご確認ください。」と表示されます。
問題ある暗号スイートでは、「接続可否」の箇所が下記のように、画像

問題のある暗号化スイートで接続できない様にする必要があります。

apache の場合は、ssl.confファイルの SSLCipherSuite で設定します。
CentOS では /etc/httpd/conf.d/ssl.conf 、Ubuntu では /etc/apache2/mods-available/ssl.conf です。

ssl.conf の SSLCipherSuite に、!XXXXX の書式で暗号スイートを追加します。
「!」が付いた暗号化スイートが、除外されます。暗号化スイートは、「:」で区切ります。

SSLCipherSuite ALL:!XXXXX:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

例えば、DES-CBC-SHA と RC4-SHA を除外する場合は、太字の箇所を追加します。

SSLCipherSuite ALL:!RC4-SHA:!DES-CBC-SHA:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

設定後、apache を reload します。

以上、WEBサーバのSSLチェックをしてくれるページの紹介と、そこで指摘された事項の対応方法の説明でした。

参考

ApacheでOpenSSLのセキュリティを強化する – Qiita

コメント