HTTPSセキュリティ強度を上げるApache httpdの設定
皆さん こんにちは @infocircus です。 SSLの脆弱性対応や緊急度の高いセキュリティ対応が多かった2014年ですが、2014年度の年度末と言うこともあり設定を再確認しています。 まずは、Linuxディストリビューションの標準設定で SSLを有効にした場合のSSL強度を測定してみました。 設定した項目は、SSLの秘密鍵と証明書・中間証明書だけの状態です。 新しいディストリビューションを使用しましたので、最低限 SSLv2 や SSLv3は無効になっています。 SSLのチェックは、GlobalSignの「SSLチェックツール」を使用します。 URL : https://sslcheck.globalsign.com/ja/sslcheck 診断の結果は、グレードC。暗号強度などは スコア0でひどい状態です。 見つかった指摘事項は、次のような項目です。 セッションはBEAST攻撃を受
cybozu.com を真に常時 SSL にする話 - Cybozu Inside Out | サイボウズエンジニアのブログ
@ymmt2005 こと山本泰宇です。 今回は cybozu.com を安全に利用するために暗号化した通信(SSL)を常時使用するための取り組みを紹介します。 HTTP と HTTPS HSTS とその弱点 Preloaded HSTS Chrome のリストに cybozu.com を組み込む まとめ HTTP と HTTPS Web ブラウザのアドレスバーに "www.cybozu.com" と打ち込むと、通常は暗号化されない HTTP 通信が行われます。そこでまず考えられるのは、Web サーバーにて HTTP 通信を受け付けたら、HTTPS に永続的リダイレクトをすることです。Apache なら以下のような設定になるでしょう。 <VirtualHost *:80> ServerName www.cybozu.com Redirect permanent / https://www.c
Strict-Transport-Security - HTTP | MDN
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection サイトの安全化 HTTP Observatory HTTP アクセス制御 (CORS) HTTP 認証 HTTP キャッシュ HTTP の圧縮 HTT
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
