背景
「Heartbleed以後」のインターネットを守るために重要な「Forward Secrecy」とは という記事を見て、どうやらHeartbleedの様な致命的なバグに対して効果を発揮するForward Secrecy(Perfect Forward Secrecy : PFS)といった対策方法があるらしい。
関連記事
- Lavabit 事件とその余波、そして Forward Secrecy - NSAのスノーデン事件のあたりで有名になった話。Foward Secrecyについての導入状況(2013年11月時点?)で書かれている。
Nginxへの導入方法
参考にしたのは、
前提:既にSSLが設定されているとして/etc/nginx/nginx.confあたりのssl設定されているconfに追加してreloadするのみ。
/etc/nginx/nginx.conf
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+RC4:EDH+aRSA:EECDH:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;
簡単に設定できるとあって、本当か?と思ったけど本当だった…(所要時間5分もない)
