nginx
heartbleed
ForwardSecrecy

Heartbleed以後の対策の1つで希望の光「Forward Secrecy」をnginxに設定する巻

More than 3 years have passed since last update.

背景

「Heartbleed以後」のインターネットを守るために重要な「Forward Secrecy」とは という記事を見て、どうやらHeartbleedの様な致命的なバグに対して効果を発揮するForward Secrecy(Perfect Forward Secrecy : PFS)といった対策方法があるらしい。

関連記事

Nginxへの導入方法

参考にしたのは、

前提:既にSSLが設定されているとして/etc/nginx/nginx.confあたりのssl設定されているconfに追加してreloadするのみ。

/etc/nginx/nginx.conf
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+RC4:EDH+aRSA:EECDH:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;

簡単に設定できるとあって、本当か?と思ったけど本当だった…(所要時間5分もない)
nginx_ssl_.png