まだまだSSL化されていないサイトも多々あります。GoogleさんはSSL化されていないサイトは評価しないとか、検索に載せないみたいな話を聞いたこともありましたが、今でもSSL化されていなくても検索上位にくるサイトもちらほらとあります。
一次情報の発信元サイトは検索から外せないとかの事情は汲みますが、一次情報の取り扱いサイトがSSL化もされない状態でいるのいって問題だと思うのですが・・・閑話休題。
SSL化する事で一定のセキュア化はされる訳ですが、これはスタートラインという事になります。折角のSSL化も脆弱さが残っていては安全性が低くなりますので、検査(テスト)を受けて現在の評価を確認し、場合によっては改善を行いたいと思います。
SSLの安全性を無料で評価してもらう-SSL Server Test
掲題にある、Qualys SSL LABS社のSSL Server Testで評価してもらう事ができます。
評価してもらうURLを入力して、Submitをクリックします。
評価結果は、第三者も見ることのできるボードに表示されます。それが嫌であれば「Do not show the results on the boards」にチェックを入れてSubmitします。
評価結果はこのようにボードに表示されます。www.r2fish.comはA+評価でした。
このボードは更新が早いので、すぐに表示されなくなります。
評価には時間がかかりますので、終わるまでほっておきます。
it.r2fish.comはA評価でした。
nginx設定で評価AをA+へ
www.r2fish.comではHSTS(HTTP Strict Transport Security)ヘ対応させてありましたので、it.r2fish.comでもHSTSへ対応させます。
centos7 のウチの設定ファイルは、
/etc/nginx/conf.d/にある、it.r2fish.com用のconfファイルになります。
そのファイルに
add_header Strict-Transport-Security ‘max-age=31536000; includeSubDomains; preload’;
を追加します。この設定によってWEBサーバから”Strict-Transport-Security”というHTTPヘッダが送られ,クライアントに常にHTTPSで通信するように強制させることができるようになります.この指定はmax-ageに指定した期間クライアントにキャッシュされ、これにより,中間者攻撃より知らず知らずのうちに攻撃者に平文通信を盗聴されることを防ぐことができるようになります。
満点ではありませんがA+になりましたので、これでよしとします。
コメント