「OpenSSL/InternetWeek2014/ConfigLighttpdBwCompatCBC」の編集履歴（バックアップ）一覧はこちら

「OpenSSL/InternetWeek2014/ConfigLighttpdBwCompatCBC」(2014/11/25 (火) 22:38:51) の最新版変更点

追加された行は緑色になります。

削除された行は赤色になります。

> server.modules = ("mod_setenv")
> $SERVER["socket"] == "0.0.0.0:443" {
>     ssl.engine = "enable"
>     # 中略
>     # // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
>     # 秘密鍵とサーバー証明書PEMファイルの連結
>     ssl.pemfile = "/etc/ssl/serverkey_cert.pem"
>     # 中間CA証明書PEMファイルの連結
>     ssl.ca-file = "/etc/ssl/ca.crt"
>     # // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(RC4危殆化対応重視)」
>     ssl.cipher-list = "EECDH+AESGCM:RSA+AESGCM:EECDH+AES:AES:DES-CBC3-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH"
>     # // 3) プロトコルはTLSv1.xのみ 
>     ssl.use-sslv2 = "disable"
>     # // 4) 暗号スイート順序サーバー優先 
>     ssl.honor-cipher-order = "enable"
>     # // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ 
>     ssl.use-compression = "disable"    
>     # // 以下、3項目は必要に応じオプションで設定 
>     # setenv.add-response-header = (
>     #     # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考 
>     #     # // https://projects.dm.id.lv/s/pkp-online/calculator.html 
>     #     "Public-Key-Pins" =>
>     #         "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains",
>     #     # // 7) HSTSの設定(max-age 6ヶ月) 
>     #     "Strict-Transport-Security" => 
>     #         "max-age=15724800; includeSubDomains"
>     # )
>     # // 8) OCSP Stapling設定 
>     # //    lighttpdではOCSP Staplingはまだサポートされていません
> }

*「レガシーを含む高互換性対応でRC4危殆化対策を重視する場合」のlighttpdのSSL設定例
[[戻る>OpenSSL/InternetWeek2014]]

> server.modules = ("mod_setenv")
> $SERVER["socket"] == "0.0.0.0:443" {
>     ssl.engine = "enable"
>     # 中略
>     # // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
>     # 秘密鍵とサーバー証明書PEMファイルの連結
>     ssl.pemfile = "/etc/ssl/serverkey_cert.pem"
>     # 中間CA証明書PEMファイルの連結
>     ssl.ca-file = "/etc/ssl/ca.crt"
>     # // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(RC4危殆化対応重視)」
>     ssl.cipher-list = "EECDH+AESGCM:RSA+AESGCM:EECDH+AES:AES:DES-CBC3-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH"
>     # // 3) プロトコルはTLSv1.xのみ 
>     ssl.use-sslv2 = "disable"
>     # // 4) 暗号スイート順序サーバー優先 
>     ssl.honor-cipher-order = "enable"
>     # // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ 
>     ssl.use-compression = "disable"    
>     # // 以下、3項目は必要に応じオプションで設定 
>     # setenv.add-response-header = (
>     #     # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考 
>     #     # // https://projects.dm.id.lv/s/pkp-online/calculator.html 
>     #     "Public-Key-Pins" =>
>     #         "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains",
>     #     # // 7) HSTSの設定(max-age 6ヶ月) 
>     #     "Strict-Transport-Security" => 
>     #         "max-age=15724800; includeSubDomains"
>     # )
>     # // 8) OCSP Stapling設定 
>     # //    lighttpdではOCSP Staplingはまだサポートされていません
> }