LoginSignup
198

More than 5 years have passed since last update.

ApacheでOpenSSLのセキュリティを強化する

Last updated at Posted at 2014-08-11

セキュリティランクの確認

OpenSSLを利用されている方は下記サイトでセキュリティランクを確認してみると良いでしょう。
https://sslcheck.globalsign.com/ja/

apacheの設定

/etc/httpd/conf.d/ssl.confなどに下記を追加しましょう。

$ sudo vim /etc/httpd/conf.d/ssl.conf
SSLHonorCipherOrder ON  ##追記
SSLCipherSuite EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5  ##追記

デフォルトと、設定した際の違いは下記コマンドで分かります。

[許可されてる暗号方式の確認方法]
$ openssl ciphers -v

[制限したときの暗号方式の確認]
$ openssl ciphers -v 'EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5'

設定した暗号方式の詳細

  • !は暗号スイートを使わせない。
  • -は暗号スイートを削除する。後ろで追加すれば使用することも可能
  • +は暗号スイートの追加。
内容 設定 備考
SSLv2の排除 !SSLv2 v2は危険なので排除
40bitの暗号方式を削除 !EXP 米国輸出規制緩和により使用可能となった暗号化方式。非常に弱い
56bit, 60bitの暗号方式を削除 !Low 同じく非常に弱い
通信を暗号化しない方式を削除 !eNULL
通信の認証をしない方式を削除 !aNULL
メッセージ認証符号にMD5を使用するものを削除 !MD5 MD5は選択プレフィックス衝突攻撃に対し脆弱性が存在します
暗号方式にRC4を使用するもの削除 !RC4 RC4は解読が容易になるようなアルゴリズムが存在するため危殆化しています
匿名暗号方式を削除 !ADH 匿名なんて削除です
128bit以上の暗号方式を追加 +MEDIUM+HIGH
3DES暗号方式を追加 +3DES RC4を削除するとWinXP + IEで接続出来なくなるため追加
ECDHEの使用優先度を上げる EECDH+HIGH 一番強固なので上げる。利用する場合は、apache2.2だと対応してないので、2.3.3以上にバージョンアップしてください。
EDHの使用優先度を上げる EDH+HIGH 次に強固なので上げる。
ケルベロス認証を削除 !KRB5 基本的には使用していないため
DSS(DSA)を削除 !DSS RSAと違って、「通信の暗号化」はカバーしてるが、「ユーザ認証」を行っていないため、暗号強度が低い。
PSKを削除 !PSK 基本的には使用しない
SRPを削除 !SRP 基本的には使用しない

2014/10/16更新:POODLE対策

SSLv3の脆弱性ですね。
下記を判断した上でPOODLE対策の設定を反映してください。

### :!SSLv3を追加するだけ
$ sudo vim /etc/httpd/conf.d/ssl.conf
EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv3:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
198