2015年12月03日
Tweet
Qualys SSL LABS
上記のサイトで、自分の管理している証明書状況をチェックしました。
すると、Fランクになっていたのです!
もちろん最低限必要と思われるような設定は入れていましたし、証明書メーカーの提供するチェックツールでは問題ありませんでした。
しかし上記サイトでチェックすると、アルゴリズムの部分で匿名認証が許可されていると表示されいました。
いくつか警告がでていたのですが、その中の1つは以下のものでした。
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
※おそらく anon というのが anonymouse のことを指しているのかな??
で、この部分をピンポイントに無効にしたいのですが、いまいちその方法はわかりませんでした。
あ、もちろん !ADH は指定しています。
そこで、 !aNULL も追加で指定しました。
するとエラーの表記が消えました。
なお、現在ちょうど過渡期なのですが、 OpenSSLのバージョンと Apache のバージョンの組み合わせでこのような問題は様々起きるようです。
一番いいのは OpenSSL 1.0以上を利用すること、Apache 2.4系を利用することですね。
CentOS 5 系では yum でのAapceh2.4系のインストールが難しいようです。
仕方ないですかOSを根本的に変えるようにならないと、なかなか難しいですね。
上記のサイトで、自分の管理している証明書状況をチェックしました。
すると、Fランクになっていたのです!
もちろん最低限必要と思われるような設定は入れていましたし、証明書メーカーの提供するチェックツールでは問題ありませんでした。
しかし上記サイトでチェックすると、アルゴリズムの部分で匿名認証が許可されていると表示されいました。
いくつか警告がでていたのですが、その中の1つは以下のものでした。
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
※おそらく anon というのが anonymouse のことを指しているのかな??
で、この部分をピンポイントに無効にしたいのですが、いまいちその方法はわかりませんでした。
あ、もちろん !ADH は指定しています。
そこで、 !aNULL も追加で指定しました。
するとエラーの表記が消えました。
なお、現在ちょうど過渡期なのですが、 OpenSSLのバージョンと Apache のバージョンの組み合わせでこのような問題は様々起きるようです。
一番いいのは OpenSSL 1.0以上を利用すること、Apache 2.4系を利用することですね。
CentOS 5 系では yum でのAapceh2.4系のインストールが難しいようです。
仕方ないですかOSを根本的に変えるようにならないと、なかなか難しいですね。