Help us understand the problem. What is going on with this article?

ApacheでOpenSSLのセキュリティを強化する

More than 5 years have passed since last update.

セキュリティランクの確認

OpenSSLを利用されている方は下記サイトでセキュリティランクを確認してみると良いでしょう。
https://sslcheck.globalsign.com/ja/

apacheの設定

/etc/httpd/conf.d/ssl.confなどに下記を追加しましょう。

$ sudo vim /etc/httpd/conf.d/ssl.conf
SSLHonorCipherOrder ON  ##追記
SSLCipherSuite EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5  ##追記

デフォルトと、設定した際の違いは下記コマンドで分かります。

[許可されてる暗号方式の確認方法]
$ openssl ciphers -v

[制限したときの暗号方式の確認]
$ openssl ciphers -v 'EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5'

設定した暗号方式の詳細

  • !は暗号スイートを使わせない。
  • -は暗号スイートを削除する。後ろで追加すれば使用することも可能
  • +は暗号スイートの追加。
内容 設定 備考
SSLv2の排除 !SSLv2 v2は危険なので排除
40bitの暗号方式を削除 !EXP 米国輸出規制緩和により使用可能となった暗号化方式。非常に弱い
56bit, 60bitの暗号方式を削除 !Low 同じく非常に弱い
通信を暗号化しない方式を削除 !eNULL
通信の認証をしない方式を削除 !aNULL
メッセージ認証符号にMD5を使用するものを削除 !MD5 MD5は選択プレフィックス衝突攻撃に対し脆弱性が存在します
暗号方式にRC4を使用するもの削除 !RC4 RC4は解読が容易になるようなアルゴリズムが存在するため危殆化しています
匿名暗号方式を削除 !ADH 匿名なんて削除です
128bit以上の暗号方式を追加 +MEDIUM+HIGH
3DES暗号方式を追加 +3DES RC4を削除するとWinXP + IEで接続出来なくなるため追加
ECDHEの使用優先度を上げる EECDH+HIGH 一番強固なので上げる。利用する場合は、apache2.2だと対応してないので、2.3.3以上にバージョンアップしてください。
EDHの使用優先度を上げる EDH+HIGH 次に強固なので上げる。
ケルベロス認証を削除 !KRB5 基本的には使用していないため
DSS(DSA)を削除 !DSS RSAと違って、「通信の暗号化」はカバーしてるが、「ユーザ認証」を行っていないため、暗号強度が低い。
PSKを削除 !PSK 基本的には使用しない
SRPを削除 !SRP 基本的には使用しない

2014/10/16更新:POODLE対策

SSLv3の脆弱性ですね。
下記を判断した上でPOODLE対策の設定を反映してください。

### :!SSLv3を追加するだけ
$ sudo vim /etc/httpd/conf.d/ssl.conf
EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv3:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした