https://kame.photos/

参考

• 細かすぎて伝わらないSSL/TLS - Yahoo! JAPAN Tech Blog
• Generate Mozilla Security Recommended Web Server Configuration Files
• SSL Server Test: kame.photos (Powered by Qualys SSL Labs)
• NginxでSSLの評価をA+にする手順 - 9mのパソコン日記
• 我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita

http {
    〜略〜
    # HTTP Strict Transport Security の指定。サブドメインにも適用
    add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;';
    〜略〜
    server {
        listen  443 ssl http2;
        # プロトコルはTLS1.2に限定
        ssl_protocols TLSv1.2;
        # TLSセッションキャッシュ有効期限
        ssl_session_timeout 5m;
        # TLSセッションキャッシュを全ワーカプロセスで共有。サイズは50MB
        ssl_session_cache shared:SSL:50m;
        # DH鍵交換のパラメータファイルの指定「openssl dhparam 2048 -out dhparam.pem」で生成
        ssl_dhparam /etc/nginx/dhparam.pem;
        # 暗号化スイート指定(MozillaConfigGenerator参照)
        ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK';
        # サーバサイドの暗号化スイート指定を優先
        ssl_prefer_server_ciphers on;
        # TLSセッションチケットはOFF - TLSセッションキャッシュはsession resumptionを使う
        ssl_session_tickets off;

        # OCSP Staplingを有効化にする
        ssl_stapling on;
        ssl_stapling_verify on;
        # 認証局の証明書
        ssl_trusted_certificate /etc/letsencrypt/live/kame.photos/ce-cert;
        
        ssl_certificate      /etc/letsencrypt/live/kame.photos/fullchain.pem;
        ssl_certificate_key  /etc/letsencrypt/live/kame.photos/privkey.pem;
    〜略〜

いろいろと気にするところがあるのだな〜とおもた