「レガシーを含む高互換性対応でRC4危殆化対策を重視する場合」のlighttpdのSSL設定例
server.modules = ("mod_setenv")
$SERVER["socket"] == "0.0.0.0:443" {
ssl.engine = "enable"
# 中略
# // 1) 証明書と鍵の設定。中間CA証明書を忘れずに
# 秘密鍵とサーバー証明書PEMファイルの連結
ssl.pemfile = "/etc/ssl/serverkey_cert.pem"
# 中間CA証明書PEMファイルの連結
ssl.ca-file = "/etc/ssl/ca.crt"
# // 2) 暗号スイート設定は「レガシーを含む幅広い環境用(RC4危殆化対応重視)」
ssl.cipher-list = "EECDH+AESGCM:RSA+AESGCM:EECDH+AES:AES:DES-CBC3-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH"
# // 3) プロトコルはTLSv1.xのみ
ssl.use-sslv2 = "disable"
# // 4) 暗号スイート順序サーバー優先
ssl.honor-cipher-order = "enable"
# // 5) CRIME,TIME攻撃対策でTLS圧縮をオフ
ssl.use-compression = "disable"
# // 以下、3項目は必要に応じオプションで設定
# setenv.add-response-header = (
# # // 6) 不正証明書発行対策でPinningを設定(max-age 1週間)、値は下記サイト参考
# # // https://projects.dm.id.lv/s/pkp-online/calculator.html
# "Public-Key-Pins" =>
# "max-age=604800; pin-sha256=EE中略; pin-sha256-IM1中略; includeSubDomains",
# # // 7) HSTSの設定(max-age 6ヶ月)
# "Strict-Transport-Security" =>
# "max-age=15724800; includeSubDomains"
# )
# // 8) OCSP Stapling設定
# // lighttpdではOCSP Staplingはまだサポートされていません
}
最終更新:2014年11月25日 22:38