SSLの設定品質をチェックする方法
2018年7月2日Security Tips, トピックス, ノウハウ
7月24日の新バージョンchrome ver68リリースに向けて市場ではSSL化の対応が活発だ。一方でSSL化すればそれで終わりと思っている人も多いようだが現実はそうは甘くはない。どんなに高価なSSL証明書を購入してもサーバの設定が悪ければ台無しなのだ。
おすすめのSSLの品質をチェックするサイト
Qualysの「SSL Server Test」はおすすめです
SSL品質評価サイトチェックした結果のサンプル
下記は当社の評価した結果ですが良好で「A+」でした。まだまだ真剣に設定すればよくできると思う。(笑
今まで相談されてチェックしてみると平均してBとかFが多かった。安い共用サーバとかだと大体CとかDが多く、そこそこいい値段の共用サーバでBのあたりが多い。自前の専用サーバだとBとかFが多いように思う。多分デフォルトのSSLサーバ設定はそんなものなのだろう。Linuxディストリビューションとレポジトリ等に依存するので。
Linuxコマンドラインで簡単にできるSSLのレベル&バージョンチェックの簡易方法をご紹介
上記のようなサイトで詳細に調べるのもよいが、まずはcurlコマンドで簡単にコンテンツ取得テストしてみるのが繰り返し改善する場合のチェックとして良い。現在SSLv3とSSLv2は危険とされ使わない事を推奨されている。
-kはある程度危険な証明書でも通信する。例えばオレオレ証明書等 -vはverboseモードで詳しく情報出力 -sは無駄な情報出力を省いた形式で出力
1 2 3 4 5 6 |
$ curl -s -v --tlsv1.0 https://www.yourhost.com > /dev/null $ curl -k -s -v --tlsv1.1 https://www.yourhost.com > /dev/null $ curl -k -s -v --tlsv1.2 https://www.yourhost.com > /dev/null $ curl -k -s -v --tlsv1.3 https://www.yourhost.com > /dev/null $ curl -k -s -v --sslv2 https://www.yourhost.com > /dev/null $ curl -k -s -v --sslv3 https://www.yourhost.com > /dev/null |