【備忘録】SSL Sever Test の Session resumption (caching) を nginx にて Yes にする方法 nginx + LibreSSLでSSL Server TestをA+評価にする にて、SSL Server Testではすでに A+ 評価になっています。しかし人間欲が出るもの、 Session resumption (cacheing) : No (IDs assigned but not accepted)
Webサーバー nginx における SSL証明書設定の安全性向上 ~SSL Server Test で A+ 判定を目指して~ はじめに SSL証明書に使われる暗号化方式は設定時には安全と判断しても、日が経ってから脆弱性が発覚するものです。 脆弱性が発覚した暗号化方式は以後使えなくなるよう、無効にする必要があります。 今回、CentOS7 + Nginx における設定の調整方法と、安全性の確認には QUALYS SSL LABS の SSL Server Test ツール (https://www.ssllabs.com/ssltest/index.html) による安全性の確認を紹介したいと思います。 前提として、CentOS7 + Nginx にはすでに SSL証明書がインストール済みで、https://~ でアクセスできる状態にしておいてください。こちらの投稿を参照してください。
SSLサーバー証明書を第三者が勝手に発行することを防止する仕組みです。 認証局(CA)はSSLサーバー証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局にSSLサーバー証明書の発行を許可しているかどうかをチェックします。 2017年9月現在、この設定はユーザの任意とされているため、設定しなくてもSSLサーバー証明書の発行に支障はありません。 CAAレコード設定の仕様 ドメイン所有者はDNSの設定画面からCAAレコードに値を設定します。設定する値は以下の例をご確認ください。 認証局はSSLサーバー証明書を発行する際にDNSのCAAレコードを参照し、自分の認証局のコモンネームが設定されているか、空の場合に証明書を発行することができます。 他社の認証局のコモンネームが設定されている場合は証明書を発行できません。 CAAレコードはサブドメイン、ルートドメイン(ネイキッドドメイン or
Clone via HTTPS Clone with Git or checkout with SVN using the repository’s web address. NginxでのSSL設定(もうちょっと詳しく) listen 443 ssl ssl on; nginxの確認 nginxをmakeするときに「–with-openssl=」オプションを使わずにsslに対応してあることを確認しておく。 $ `which nginx` -V 2>&1 | grep openssl $ (何も表示されないことを確認) 次にopensslのバージョン確認。 $ rpm -qa openssl $ openssl-1.0.1i-1.78.xxxxxxxx.x86_64 ※ 「xxxxxxx」はPlatform名。 バージョンが1.0.1i以上であることを確認しておく。 もしopensslのバ
こんにちは、バックエンドエンジニアの Kaz です。 今回は Web サイトとユーザーを保護する「 SSL 」をテーマに、 正しくサイトの強制 SSL 化を行って、すべての通信、ユーザーとサービスを保護しよう というお話をします。 暗号化だけじゃない!?SSLが保護するもう一つの安全機能 まず今回のお話の大前提といて、SSL を使って何を保護できるのかを知る必要があります。 通信の暗号化 よく知られているものでは「通信の暗号化」というものがあります。これはユーザーが使っている Web ブラウザーアプリケーション( Google Chrome や Safari など)と、Web サイトを提供している事業者側の Web サーバーの間の通信を暗号化し、第三者に そのままでは 通信を覗き見られないようにするものです。 インターネットは仕組み上、通信途中で多数の第三者のサーバーを経由しながらさまざま
Let's Encrypt で取得したサーバ証明書を Nginxに設定するための手順。 確認した環境は次の通り。 OS: CentOS 7.2 Nginx 1.11 Let's Encrypt 導入の事前準備 証明書を取得したいドメインでアクセスできるサーバを立てておく。 アプリケーションやHTTPサーバのインストールは必ずしも必要ないが、次の2点が必要。 取得したいドメインがDNSで名前解決できる 80番ポートでアクセスできる 以下の操作はそのサーバ上で行う。 certbot のインストール まず、Let's Encrypt のクライアントcertbotをインストール。 インストールと言っても、git で cloneするだけ。 以下の例では、/usr/local にインストールしているが、場所はどこでもよい。 $ cd /usr/local $ git clone https://git
sudo /usr/bin/certbot-auto certonly --webroot -w /var/www/html --email test@example.com --debug -d test.example.com 必要があれば、関係するパッケージが更新・インストールされる。その場合は、再度上のコマンドを入れないといけないかも。 dオプションでドメインを指定するが、-d example.com -d test.example.comのように複数指定できる。最初に記述したドメインがコモンネームになる。 ちなみに、指定するすべてのドメインは、このサーバに向いたAレコードを持っていないといけない。 wオプションでドキュメントルートディレクトリを指定する。ドメインごとに別のドキュメントルートディレクトリを指定したいときには、-dオプションの直前に-wオプションを書けば良い。 すべて
大変申し訳ございませんが、こちらのサービスは現在提供を行っておりません。 お申込み受付再開の予定はございませんので、ご不便をお掛け致しますがご容赦くださいませ。
SSL サーバ証明書 格安・快速発行 Rapid-SSL.jp サーバメンテナンスを行います。 お知らせをご覧下さい。。SSLサーバ証明書 を取得するならRapid-SSL.jp。 Rapid-SSL.jpは、Digicert社が保有・運営する低価格ソリューションブランド"RapidSSL.com"のサービスを取り扱う日本における正規販売パートナーです。 低価格とはいえ高い信頼性・2048bitRSAルート証明書対応・Certificate Transparency対応・世界標準の256bit鍵長SSL暗号と全く遜色の無いもので、まさにSSL普及の為のサービスと言えるでしょう。 法的な書類確認が不可欠なサービスをあえて扱わず、オンライン本人確認システムを採用、全ての手続きのオンライン化・徹底したコスト削減によりお求めやすく・快速発行(最短数分)*1を実現しました。現在、RapidSSLの証
コモドのSSLサーバ証明書を格安価格で販売。休日や深夜でも、申請・再発行・更新手続き可能。他社購入のSSL証明書も更新可能。
Window用にSSL用証明書の作成方法を見直しましたので、Linuxでも同様に見直しました。ここで、作成した証明書は、ApacheやPostfix、Courier-IMAP等のメールシステム、ProFTPD等で使用できますが、具体的な使用方法はそれぞれのコンテンツを参照してください。なお、クライアントへのインストール方法は、こちらのコンテンツを参照してください。 なお、RedHat系の場合は、openssl-perlがインストールされていないとスクリプトが使用できないので、予め確認して必要ならインストールしてください。SuSEは、opensslがインストールされていればスクリプトもあわせてインストールされています。 SuSE9.3やCentOS4.xの場合、スクリプトが /usr/share/ssl/misc/CA.pl というようにPATHが通っていないところにインストールされます。本
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く