「OpenSSL/InternetWeek2014/ConfigNginxModern」の編集履歴（バックアップ）一覧はこちら

「OpenSSL/InternetWeek2014/ConfigNginxModern」(2014/11/25 (火) 22:42:42) の最新版変更点

追加された行は緑色になります。

削除された行は赤色になります。

> server {
>     listen 443 ssl;
>     # // 1) 証明書と鍵の設定。中間CA証明書を忘れずに 
>     ssl_certificate /etc/ssl/chain.crt;
>     ssl_certificate_key /etc/ssl/server.key;
>     # // 2) 暗号スイート設定は「最新環境2」
>     ssl_ciphers 'EECDH+AESGCM:RSA+AESGCM:!DSS:!DH';
>     # // 3) プロトコルはTLSv1.xのみ
>     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>     # // 4) 暗号スイート順序サーバー優先 
>     ssl_prefer_server_ciphers on;
>     # // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ
>     # // 設定では不能。nginx 1.2.2以降or1.3.2以降を使用。 
>     # // 以下、3項目は必要に応じオプションで設定 
>     # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考 
>     # // https://projects.dm.id.lv/s/pkp-online/calculator.html 
>     # add_header Public-Key-Pins "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains";
>     # // 7) HSTSの設定(max-age 6ヶ月) 
>     # add_header Strict-Transport-Security "max-age=15724800; includeSubDomains";
>     # // 8) OCSP Stapling設定 
>     # // 設定はグローバルサイン社のサイトなどが参考になります 
>     # // https://sslcheck.globalsign.com/ja/help/26d15ece 
>     # ssl_stapling on;
>     # ssl_stapling_verify on;
>     # // OCSPの検証およびクライアント認証用CA証明書
>     # ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
>     # 後略 
> }

*「最近のブラウザ向け」nginxのSSL設定例
[[戻る>OpenSSL/InternetWeek2014]]

> server {
>     listen 443 ssl;
>     # // 1) 証明書と鍵の設定。中間CA証明書を忘れずに 
>     ssl_certificate /etc/ssl/chain.crt;
>     ssl_certificate_key /etc/ssl/server.key;
>     # // 2) 暗号スイート設定は「最新環境2」
>     ssl_ciphers 'EECDH+AESGCM:RSA+AESGCM:!DSS:!DH';
>     # // 3) プロトコルはTLSv1.xのみ
>     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>     # // 4) 暗号スイート順序サーバー優先 
>     ssl_prefer_server_ciphers on;
>     # // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ
>     # // 設定では不能。nginx 1.2.2以降or1.3.2以降を使用。 
>     # // 以下、3項目は必要に応じオプションで設定 
>     # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考 
>     # // https://projects.dm.id.lv/s/pkp-online/calculator.html 
>     # add_header Public-Key-Pins "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains";
>     # // 7) HSTSの設定(max-age 6ヶ月) 
>     # add_header Strict-Transport-Security "max-age=15724800; includeSubDomains";
>     # // 8) OCSP Stapling設定 
>     # // 設定はグローバルサイン社のサイトなどが参考になります 
>     # // https://sslcheck.globalsign.com/ja/help/26d15ece 
>     # ssl_stapling on;
>     # ssl_stapling_verify on;
>     # // OCSPの検証およびクライアント認証用CA証明書
>     # ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
>     # 後略 
> }