「OpenSSL/InternetWeek2014/ConfigNginxBwCompatRC4」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
> server {
> listen 443 ssl;
> # // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
> ssl_certificate /etc/ssl/chain.crt;
> ssl_certificate_key /etc/ssl/server.key;
> # // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(CBC危殆化重視)」
> ssl_ciphers '"EECDH+AESGCM:RSA+AESGCM:RC4-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH';
> # // 3) プロトコルはTLSv1.xとSSLv3
> ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
> # // 4) 暗号スイート順序サーバー優先
> ssl_prefer_server_ciphers on;
> # // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ
> # // 設定では不能。nginx 1.2.2以降or1.3.2以降を使用。
> # // 以下、3項目は必要に応じオプションで設定
> # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考
> # // https://projects.dm.id.lv/s/pkp-online/calculator.html
> # add_header Public-Key-Pins "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains";
> # // 7) HSTSの設定(max-age 6ヶ月)
> # add_header Strict-Transport-Security "max-age=15724800; includeSubDomains";
> # // 8) OCSP Stapling設定
> # // 設定はグローバルサイン社のサイトなどが参考になります
> # // https://sslcheck.globalsign.com/ja/help/26d15ece
> # ssl_stapling on;
> # ssl_stapling_verify on;
> # // OCSPの検証およびクライアント認証用CA証明書
> # ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
> # 後略
> }
*「レガシーを含む高互換性対応でBEAST等のCBCモード危殆化対策を重視する場合」のnginxのSSL設定例
[[戻る>OpenSSL/InternetWeek2014]]
> server {
> listen 443 ssl;
> # // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
> ssl_certificate /etc/ssl/chain.crt;
> ssl_certificate_key /etc/ssl/server.key;
> # // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(CBC危殆化重視)」
> ssl_ciphers '"EECDH+AESGCM:RSA+AESGCM:RC4-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH';
> # // 3) プロトコルはTLSv1.xとSSLv3
> ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
> # // 4) 暗号スイート順序サーバー優先
> ssl_prefer_server_ciphers on;
> # // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ
> # // 設定では不能。nginx 1.2.2以降or1.3.2以降を使用。
> # // 以下、3項目は必要に応じオプションで設定
> # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考
> # // https://projects.dm.id.lv/s/pkp-online/calculator.html
> # add_header Public-Key-Pins "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains";
> # // 7) HSTSの設定(max-age 6ヶ月)
> # add_header Strict-Transport-Security "max-age=15724800; includeSubDomains";
> # // 8) OCSP Stapling設定
> # // 設定はグローバルサイン社のサイトなどが参考になります
> # // https://sslcheck.globalsign.com/ja/help/26d15ece
> # ssl_stapling on;
> # ssl_stapling_verify on;
> # // OCSPの検証およびクライアント認証用CA証明書
> # ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
> # 後略
> }