SSLCipherSuite を変更し perfect forward secrecy にも対応してみる - さくらVPS CentOS 6.5 - IMPOV::In My Point Of View
SSLサーバー証明書を購入し設置を行ったので、この機会にSSLまわりの設定を見なおしてみることにした。 (2014/10/21追記:POODLE attack に対応するため、SSLProtocol に -SSLv3 を追加。) (2016/03/03追記:古い記事なので今風のCipherSuiteについて、文末に追記しました。) 現状の確認 まずはQualys SSL Labs SSL Server Testというサイトへ行って、現状をチェック。 最近チェックされたドメインリストに名前が出てしまうので、ドメイン名入力欄の下にあるチェックボックスをオンにしてリスト掲載を拒否する。 数分待つと結果が表示される。 Beast攻撃がどうだとか、暗号強度が低いだとか、いろいろと指摘されてしまう。 また、ページの下の方へ行くと、メジャーなブラウザとの接続確認も可能だ。 設定の変更 SSLまわりの知識
ApacheでOpenSSLのセキュリティを強化する - Qiita
セキュリティランクの確認 OpenSSLを利用されている方は下記サイトでセキュリティランクを確認してみると良いでしょう。 https://sslcheck.globalsign.com/ja/ apacheの設定 /etc/httpd/conf.d/ssl.confなどに下記を追加しましょう。 $ sudo vim /etc/httpd/conf.d/ssl.conf SSLHonorCipherOrder ON ##追記 SSLCipherSuite EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5 ##追記 [許可されてる暗号方式の確認方法] $ openssl ciphers -v [制限したときの暗号方式の確認] $ ope
間違いだらけのWEBサーバ Keep-Alive - 新・浅く広くをモットーに - WEBプログラマ メモ
14:30 | Keep-Alive on / off に関する文献の多くが曖昧であることが気になっていたので、まとめてみました。Apacheのドキュメントから、Keep-Aliveの説明を拝借しますと、HTTP/1.0 の Keep-Alive 拡張と HTTP/1.1 の持続的接続の機能は、複数のリクエストが同じTCPの接続で送られる、長時間持続する HTTP セッションを提供します。つまり、Keep-Aliveは、『TCP 3ウェイハンドシェイクの節約』であるという点を理解しなければなりません。たいていの文献は『画像やCSSが多いサイトでは、接続を使い回すことにより無駄遣いをなくす』という説明をしていますが、この接続を使い回すという表現も曖昧な気がします。何となく分かった気になってしまう人も多いのではないでしょうか。それでは、まずは以下のようなhttpd.confで、Apacheの動
HowTos/Https
Setting up an SSL secured Webserver with CentOS <<TableOfContents: execution failed [Argument "maxdepth" must be an integer value, not "[1]"] (see also the log)>> This guide will explain how to set up a site over https. The tutorial uses a self signed key so will work well for a personal website or testing purposes. This is provided as is so proceed at your own risk and take backups! 1. Getting th
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
