logjam対策でやったことまとめ | no news.

logjam対策でやったことまとめ

はい、Logjamです。次から次へと、って感じですがやったことまとめます。

とは言ってもGuide to Deploying Diffie-Hellman for TLSにやることがまとめてあります。まずはこのページでテストします。自分のサーバのURLを入れてGoをクリックするだけです。

ng

この状態はNGです。安全でない輸出暗号化スイートは無効になっていますがDHEが1024bitになってしまっています。これは2048にしたほうがいいそうです。というわけで順を追って設定していきます。

設定手順

スポンサーリンク
レクタングル大

ユニークなDHグループを生成する

 # openssl dhparam -out /etc/ssl/certs/dhparams.pem 2048 

/etc/ssl/certs/dhparams.pemというファイルを指定してみました。

nginxでの設定をする

見本が載っているのでそのままいただきましょう。

まずは暗号化スイートの設定 ※ここでは!EXPORTを入れることが重要なのでしょう

 ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; ssl_prefer_server_ciphers on; 

さらに先ほど生成したDHグループを指定します。

 ssl_dhparam /etc/ssl/certs/dhparams.pem; 

ここまで来たらnginxをリロードします。

 ~# nginx -t nginx: the configuration file /usr/local/nginx-1.9.0/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/nginx-1.9.0/conf/nginx.conf test is successful # nginx -s reload # 

再度テストをしてみます。
ok

とりあえずは問題なさそうです。

ついでに設定ファイルの関連部分だけを載せておきます。

ssl on;
ssl_certificate /path/to/server.crt;
include /etc/nginx/conf.d/ssl_cipher.conf;

/etc/nginx/conf.d/ssl_cipher.conf

ssl_protocols TLSv1.2;
ssl_certificate_key /path/to/server.key;
ssl_password_file /path/to/passphrase;
ssl_session_cache shared:nonews:10m;
ssl_session_timeout 60m;

ssl_dhparam /etc/ssl/certs/dhparams.pem;

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

ssl_prefer_server_ciphers on;
スポンサーリンク
レクタングル大

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
レクタングル大

コメント

  1. […] このサーバーでアップデートしてみたけどまだ最新版は来てないみたいです。一応logjam対策はしてるつもりなんだけど。。。 […]