Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
Redirecting to ssl-config.mozilla.org...
Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
Apache2.4ではconfの書き方が変わりました。 - Qiita
Apache 2.2から2.4に上がった時にかなり変更があったんですね。ぐぐる Ubuntu13.10にて確認。 アクセス権 AH01630: client denied by server configuration
Upgrading to 2.4 from 2.2 - Apache HTTP Server Version 2.4
In order to assist folks upgrading, we maintain a document describing information critical to existing Apache HTTP Server users. These are intended to be brief notes, and you should be able to find more information in either the New Features document, or in the src/CHANGES file. Application and module developers can find a summary of API changes in the API updates overview. This document describes
SSLCipherSuite を変更し perfect forward secrecy にも対応してみる - さくらVPS CentOS 6.5 - IMPOV::In My Point Of View
SSLサーバー証明書を購入し設置を行ったので、この機会にSSLまわりの設定を見なおしてみることにした。 (2014/10/21追記:POODLE attack に対応するため、SSLProtocol に -SSLv3 を追加。) (2016/03/03追記:古い記事なので今風のCipherSuiteについて、文末に追記しました。) 現状の確認 まずはQualys SSL Labs SSL Server Testというサイトへ行って、現状をチェック。 最近チェックされたドメインリストに名前が出てしまうので、ドメイン名入力欄の下にあるチェックボックスをオンにしてリスト掲載を拒否する。 数分待つと結果が表示される。 Beast攻撃がどうだとか、暗号強度が低いだとか、いろいろと指摘されてしまう。 また、ページの下の方へ行くと、メジャーなブラウザとの接続確認も可能だ。 設定の変更 SSLまわりの知識
ApacheでOpenSSLのセキュリティを強化する - Qiita
セキュリティランクの確認 OpenSSLを利用されている方は下記サイトでセキュリティランクを確認してみると良いでしょう。 https://sslcheck.globalsign.com/ja/ apacheの設定 /etc/httpd/conf.d/ssl.confなどに下記を追加しましょう。 $ sudo vim /etc/httpd/conf.d/ssl.conf SSLHonorCipherOrder ON ##追記 SSLCipherSuite EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5 ##追記 [許可されてる暗号方式の確認方法] $ openssl ciphers -v [制限したときの暗号方式の確認] $ ope
名前ベースのバーチャルホストでSSLを使う(SNI) | あぱーブログ
TLS拡張(RFC4366)仕様の一つ Server Name Indication(SNI)によって名前ベースのバーチャルホストでもSSLが使えますが、そもそもなぜ、名前ベースのバーチャルホストでSSLが使えないのかその理由と、SNIの仕組みと設定方法について調べてみました。 以前、WEBディレクターの方から、SSLを使っているサイトのバーチャルホストの設定依頼を受けて「SSL使ってるとバーチャルホストは使えないっすよ」とドヤ顔で答えてしまい、少し恥ずかしい思いをしました。(^^;) 昔の上司の言葉「常にアンテナを張っておけ!」を思い出します。 SNIの仕組み SSLを使っていると当然ですがHTTPヘッダは暗号化されているので、クライアントがどのホスト名を指定しているのか判断できないため、先頭のバーチャルホスト(図の場合は lamp-sv)が表示されてしまいます。 SNIではSSL/TL
Apache の KeepAliveTimeout の設定
Apache を利用している Web システムが、突然レスポンスが返ってこなくなる、あるいは異常に遅い、こんなトラブルに遭遇した経験はないでしょうか? ・サーバが死んでいるわけではない。 ・サーバ負荷が高いわけでもない。 ・ブラウザでアクセスしたときは、レスポンスがなかなか返ってこない。 このようなレスポンス遅延の症状が出たとき、考えられる原因はいくつかあるのですが、可能性が高い原因として Apache の KeepAliveTimeout の設定があります。 KeepAliveTimeout は、1つのクライアント(ブラウザ)が、コネクションを占有できる時間を設定します。通常ブラウザが Web ページにアクセスしたときは、HTML ページをロードした後、そこから参照される CSS や画像等のファイルを次々と読み込むことになります。このとき、最初の HTML ページをロードする際に使用して
Apacheパフォーマンス・チューニングの実践
セッションのチューニング ここまでのチューニングは、必要か必要でないかを判断すればよく、手探りで最適な値を探し出すというものではなかった。しかし、これから紹介する「セッションのチューニング」はそうもいかない。ある程度の見通しは立てられても、最適な答えを見つけるのには手間がかかってしまう。 KeepAliveとセッションの切断 セッションのチューニングの手始めとして、「KeepAlive」について考えることにしよう。KeepAliveはHTTP/1.1から用意されたもので、クライアントとの接続を保持する仕組みである。HTTPは「ステートレス・プロトコル」と呼ばれるとおり、1回の要求(リクエスト)ごとに接続が切断される。しかし、今日では1つのWebページを表示するために複数のファイルが必要となる場合がほとんどなので、1リクエストごとに接続を切っていたのでは効率が悪い。そこで考え出されたのがKe
ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない - このブログはURLが変更になりました
元ネタはこちら。 Apache AddHandler madness all over the place Gentoo Bug 538822 どういうことか 次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.pngなどもphp5-scriptとして解釈されてしまうのだ。これは.XXX.YYYと複数の拡張子が書かれた場合、.XXXと.YYYもAddHandlerの対象となることが原因。 ちなみに次のような場合にはphp5-scriptとして解釈されない。 ccc.php_foo (.php_fooとして解釈されるため) ddd.php_bar.html (.php_barと.htmlとして解釈されるため)実はこのことはApacheのドキュメン
Passenger アーキテクチャ概要 (koshigoe 仮訳)
典型的で孤立したWebアプリケーションは、いくつかのI/OチャネルからHTTPリクエストを受け入れ、内部でそれを処理し、HTTPレスポンスを出力し、それをクライアントに送り返します。これは、アプリケーションが終了を命令されるまで繰り返し行われます。 この事は、WebアプリケーションがHTTPを直接的に話す必然性がない事を意味します: WebアプリケーションはあるHTTPリクエストの何種類かの表現を受け入れる事を意味します。
Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.
Apache/SSL自己証明書の作成とmod sslの設定 提供:maruko2 Note. < Apache 移動: 案内, 検索 目次 1 手順 2 秘密鍵の作成 (server.key) 3 CSR(証明書の基になる情報)の作成 (server.csr) 3.1 入力項目の例 4 証明書(公開鍵)の作成 (server.crt) 5 Apache mod_ssl の設定 6 Apache 起動時にパスフレーズの入力を省略する 6.1 秘密鍵 (server.key) ファイルをあらかじめ復号化しておく方法 6.2 Apache起動時のパスフレーズ入力を自動化する方法 7 参考ページ 8 Apache 関連のページ 手順 2017年1月1日以降、SSL 証明書の署名アルゴリズムとして SHA-1 を使用している証明書は SSL 通信ができなくなる。 これは、Windows製品、Goog
Apacheの設定 - Apacheの導入 - [SMART]
1.指示子について この章では UNIX系のOSでもっとも利用されている 『Apache』 ウェブサーバの設定方法を中心に、CGI を利用するための環境作りを解説します。 章の最後に Apacheのダウンロード場所や、インストール手順や設定方法のドキュメントのリンクを掲載しているので、まだ導入されていない方はこれを機会にぜひチャレンジしてみてください。 ウェブサーバとCGIの関係 ウェブサーバの主要な機能は、ブラウザがリクエストしたURLに該当するファイルを送信することです。リクエストがHTMLではなくCGIプログラムの場合は、プログラムの内容を表示する代わりにCGIプログラムを実行して、その出力を送信します。 ウェブサーバの設定は複雑な面もありますが、必要最低限の設定は実はそれほど多くありません。最初にHTMLファイルを表示できるように設定し、あとからCGIプログラムの起動やそのほかさま
Apache2 インストール | CentOSサーバー構築マニュアル.com
ServerTokens OS ↓ ServerTokens Prod ←変更(サーバーの情報を隠す) KeepAlive Off ↓ KeepAlive On ←変更(クライアントとの接続を保持する) ServerAdmin root@localhost ↓ ServerAdmin postmaster@server-manual.com ←変更(管理者のメールアドレスを記入) #ServerName www.example.com:80 ↓ ServerName www.server-manual.com:80 ←コメント解除&変更(サーバー名を記入) <Directory "/var/www/html"> # # Possible values for the Options directive are "None", "All", # or any combination of:
Apacheのセキュリティ周りの設定を試してみる - yk5656 diary (旧)
VirtualBoxにCentOSをとりあえずインストール の続き Apacheの下記のセキュリティ周りの設定を試してみる。 ・ServerTokens ・ServerSignature ・Options Indexs Apacheのインストール まずはApacheをインストールしておく。 $ sudo yum -y install httpd $ sudo service httpd start ServerTokens ServerTokens OS デフォルトでは、ServerTokensは「OS」になっている。 $ sudo vi /etc/httpd/conf/httpd.conf ServerTokens OS http://サーバーのアドレス/ にアクセスすると、 レスポンスヘッダーのServerのところにApacheのバージョンが表示される。 ServerTokens Pr
システムPerlを無理矢理別バージョンにする - Using Perl
もともとはUsing MT ( MT = MovableType ) というブログ名でしたが、MTに関することをめっきりかかなくなってしまったので、Using Perlに変更しました。Perl 愛してます。 MovableType使ってます。4ですが。5への移行は諦めています。最近はMTネタよりも、Web系のプログラム関連のネタ全般にシフトしています。 MacにデフォルトでインストールされているPerlとApacheで会社のサービスをホストしています。 構成 MacBook Mac OS X Leopard 10.5 システムPerl 5.8 Apache 2 Perlが5.8なので、Mojoliciousが使えなかった。( 5.10.1以上必須) それに、もっと上のバージョンのPerlが持っている機能(sayとか)使いたかった。 でも、なかなかPerlのバージョンを上げることができなかっ
間違いだらけのWEBサーバ Keep-Alive - 新・浅く広くをモットーに - WEBプログラマ メモ
14:30 | Keep-Alive on / off に関する文献の多くが曖昧であることが気になっていたので、まとめてみました。Apacheのドキュメントから、Keep-Aliveの説明を拝借しますと、HTTP/1.0 の Keep-Alive 拡張と HTTP/1.1 の持続的接続の機能は、複数のリクエストが同じTCPの接続で送られる、長時間持続する HTTP セッションを提供します。つまり、Keep-Aliveは、『TCP 3ウェイハンドシェイクの節約』であるという点を理解しなければなりません。たいていの文献は『画像やCSSが多いサイトでは、接続を使い回すことにより無駄遣いをなくす』という説明をしていますが、この接続を使い回すという表現も曖昧な気がします。何となく分かった気になってしまう人も多いのではないでしょうか。それでは、まずは以下のようなhttpd.confで、Apacheの動
SSIの仕組みと有効化・制限の設定
SSIを使えば複数のページで共通部分を一元化できるなどのメリットがある。ただし、サーバへの負荷やセキュリティといった要素も考えると無制限に使うべきではない。デメリットを排してメリットだけを享受するには適切な設定が必要だ。 動的なコンテンツ生成を実現するSSI 皆さんはSSI(Server Side Include)をご存じだろうか。SSIは、CGIと同じく動的にコンテンツ(HTML)を生成するための技術だ。 Webサイトの多くは全ページ共通の部分を少なからず持っている。例えば、ページの上にはコンテンツのナビゲーションタブ、ページの下にはCopyrightなどのメッセージといった具合である。これらの共通部分は、各ファイルに記述するよりも共通のファイルに分離しておく方が効率がよい。なぜならば、共通部分に何らかの修正が発生した場合に、複数のファイルを修正するよりも1つのファイルを修正するだけで済
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
株式会社スタイルズ
Apacheチューニング
中規模サイトのApacheチューニング - Qiita
