参考
- 細かすぎて伝わらないSSL/TLS - Yahoo! JAPAN Tech Blog
- Generate Mozilla Security Recommended Web Server Configuration Files
- SSL Server Test: kame.photos (Powered by Qualys SSL Labs)
- NginxでSSLの評価をA+にする手順 - 9mのパソコン日記
- 我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
http { 〜略〜 # HTTP Strict Transport Security の指定。サブドメインにも適用 add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;'; 〜略〜 server { listen 443 ssl http2; # プロトコルはTLS1.2に限定 ssl_protocols TLSv1.2; # TLSセッションキャッシュ有効期限 ssl_session_timeout 5m; # TLSセッションキャッシュを全ワーカプロセスで共有。サイズは50MB ssl_session_cache shared:SSL:50m; # DH鍵交換のパラメータファイルの指定「openssl dhparam 2048 -out dhparam.pem」で生成 ssl_dhparam /etc/nginx/dhparam.pem; # 暗号化スイート指定(MozillaConfigGenerator参照) ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK'; # サーバサイドの暗号化スイート指定を優先 ssl_prefer_server_ciphers on; # TLSセッションチケットはOFF - TLSセッションキャッシュはsession resumptionを使う ssl_session_tickets off; # OCSP Staplingを有効化にする ssl_stapling on; ssl_stapling_verify on; # 認証局の証明書 ssl_trusted_certificate /etc/letsencrypt/live/kame.photos/ce-cert; ssl_certificate /etc/letsencrypt/live/kame.photos/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/kame.photos/privkey.pem; 〜略〜
いろいろと気にするところがあるのだな〜とおもた
