[nginx]Qualys SSL LABS社 評価(SSLの安全性)

nginxServer
nginx

まだまだSSL化されていないサイトも多々あります。GoogleさんはSSL化されていないサイトは評価しないとか、検索に載せないみたいな話を聞いたこともありましたが、今でもSSL化されていなくても検索上位にくるサイトもちらほらとあります。
一次情報の発信元サイトは検索から外せないとかの事情は汲みますが、一次情報の取り扱いサイトがSSL化もされない状態でいるのいって問題だと思うのですが・・・閑話休題。
SSL化する事で一定のセキュア化はされる訳ですが、これはスタートラインという事になります。折角のSSL化も脆弱さが残っていては安全性が低くなりますので、検査(テスト)を受けて現在の評価を確認し、場合によっては改善を行いたいと思います。

SSLの安全性を無料で評価してもらう-SSL Server Test

掲題にある、Qualys SSL LABS社のSSL Server Testで評価してもらう事ができます。

SSL Server Testホスト名入力
SSL Server Testホスト名入力

評価してもらうURLを入力して、Submitをクリックします。
評価結果は、第三者も見ることのできるボードに表示されます。それが嫌であれば「Do not show the results on the boards」にチェックを入れてSubmitします。

SSL Server Testボード表示
SSL Server Testボード表示

評価結果はこのようにボードに表示されます。www.r2fish.comはA+評価でした。
このボードは更新が早いので、すぐに表示されなくなります。

SSL Server Test評価中
SSL Server Test評価中
SSL Server Test評価中
SSL Server Test評価中

評価には時間がかかりますので、終わるまでほっておきます。

SSL Server Test評価
SSL Server Test評価

it.r2fish.comはA評価でした。

nginx設定で評価AをA+へ

www.r2fish.comではHSTS(HTTP Strict Transport Security)ヘ対応させてありましたので、it.r2fish.comでもHSTSへ対応させます。
centos7 のウチの設定ファイルは、
/etc/nginx/conf.d/にある、it.r2fish.com用のconfファイルになります。
そのファイルに

add_header Strict-Transport-Security ‘max-age=31536000; includeSubDomains; preload’;

を追加します。この設定によってWEBサーバから”Strict-Transport-Security”というHTTPヘッダが送られ,クライアントに常にHTTPSで通信するように強制させることができるようになります.この指定はmax-ageに指定した期間クライアントにキャッシュされ、これにより,中間者攻撃より知らず知らずのうちに攻撃者に平文通信を盗聴されることを防ぐことができるようになります。

SSL Server Test再評価
SSL Server Test再評価

満点ではありませんがA+になりましたので、これでよしとします。

コメント

タイトルとURLをコピーしました