「OpenSSL/InternetWeek2014/ConfigLighttpdBwCompatCBC」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
> server.modules = ("mod_setenv")
> $SERVER["socket"] == "0.0.0.0:443" {
> ssl.engine = "enable"
> # 中略
> # // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
> # 秘密鍵とサーバー証明書PEMファイルの連結
> ssl.pemfile = "/etc/ssl/serverkey_cert.pem"
> # 中間CA証明書PEMファイルの連結
> ssl.ca-file = "/etc/ssl/ca.crt"
> # // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(RC4危殆化対応重視)」
> ssl.cipher-list = "EECDH+AESGCM:RSA+AESGCM:EECDH+AES:AES:DES-CBC3-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH"
> # // 3) プロトコルはTLSv1.xのみ
> ssl.use-sslv2 = "disable"
> # // 4) 暗号スイート順序サーバー優先
> ssl.honor-cipher-order = "enable"
> # // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ
> ssl.use-compression = "disable"
> # // 以下、3項目は必要に応じオプションで設定
> # setenv.add-response-header = (
> # # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考
> # # // https://projects.dm.id.lv/s/pkp-online/calculator.html
> # "Public-Key-Pins" =>
> # "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains",
> # # // 7) HSTSの設定(max-age 6ヶ月)
> # "Strict-Transport-Security" =>
> # "max-age=15724800; includeSubDomains"
> # )
> # // 8) OCSP Stapling設定
> # // lighttpdではOCSP Staplingはまだサポートされていません
> }
*「レガシーを含む高互換性対応でRC4危殆化対策を重視する場合」のlighttpdのSSL設定例
[[戻る>OpenSSL/InternetWeek2014]]
> server.modules = ("mod_setenv")
> $SERVER["socket"] == "0.0.0.0:443" {
> ssl.engine = "enable"
> # 中略
> # // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
> # 秘密鍵とサーバー証明書PEMファイルの連結
> ssl.pemfile = "/etc/ssl/serverkey_cert.pem"
> # 中間CA証明書PEMファイルの連結
> ssl.ca-file = "/etc/ssl/ca.crt"
> # // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(RC4危殆化対応重視)」
> ssl.cipher-list = "EECDH+AESGCM:RSA+AESGCM:EECDH+AES:AES:DES-CBC3-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH"
> # // 3) プロトコルはTLSv1.xのみ
> ssl.use-sslv2 = "disable"
> # // 4) 暗号スイート順序サーバー優先
> ssl.honor-cipher-order = "enable"
> # // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ
> ssl.use-compression = "disable"
> # // 以下、3項目は必要に応じオプションで設定
> # setenv.add-response-header = (
> # # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考
> # # // https://projects.dm.id.lv/s/pkp-online/calculator.html
> # "Public-Key-Pins" =>
> # "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains",
> # # // 7) HSTSの設定(max-age 6ヶ月)
> # "Strict-Transport-Security" =>
> # "max-age=15724800; includeSubDomains"
> # )
> # // 8) OCSP Stapling設定
> # // lighttpdではOCSP Staplingはまだサポートされていません
> }