SSLサーバーのテストは Qualys SSL Report を利用します。
Apacheのデフォルト設定だと評価が低いので評価を上げる設定を入れていきます。
テストをする際は「Do not show the results on the boards」にチェックを入れて実施します。チェックを入れないと結果が公開されてしまいます。
黄色、赤色を減らす
DNSは外部サービスを利用しています。私の利用しているDNSサービスは残念ながら、DNS CAA には対応していないようです。
DNS CAA(Certification Authority Authorization)は、自分が所有しているドメインに対して、SSL/TLSサーバー証明書を発行できる認証局(CA)を指定できる仕組みの事です。ドメイン所有者が CAAレコードを登録することによって、証明書の誤発行リスクを減らすのが目的です。
SSLProtocolにてSSLv2、SSLv3を無効化させます。今回はついでにTLS1、TLS1.1も無効化させてしまいます。
SSLProtocol all -TLSv1 -TLSv1.1 -SSLv2 -SSLv3
古いCipher(RC4、3DES、IDEA)を無効化させます。。
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5!RC4!3DES!IDEA
これで「A」評価を得る事ができます
HSTS(HTTP Strict Transport Security) 設定します。HSTSとは、HTTPS通信をブラウザに強制する機能です。
Header set Strict-Transport-Security "max-age=315360000;"
「A+」の評価が得られました。