LiteSpeedのインストールについては、以下の記事で書きましたので参考にしてみてください。
今回は、Qualys SSL Server Testで、とりあえずA+になるように設定していきます。
変更前の状態確認
SSL周りの設定は、前回まで、証明書と秘密鍵ファイルを指定しただけでした。
評価は、Bとなっています。
変更箇所
プロトコルバージョン
こちらのメッセージの対応をします。TLS1.1がサポートされちゃってますということです。
TLS 1.0/1.1は、脆弱性があるので基本使わないようにしましょう。
This server supports TLS 1.1. Grade capped to B. MORE INFO »
ついにTLS 1.0/1.1の無効化が決定!影響や確認・対応方法とは? | さくらのSSL
左ナビのリスナー => 443ポートで設定したものを選択 => SSLタブに切り替え => SSL プロトコル => プロトコルバージョンを変更します。(初期設定では、未選択になっています)
TLS v1.2とTLS v1.3だけチェックします。
ここで一旦、再起動し、再度テストをします。
1つの変更だけで、B => Aに変わりました。
上の図を見てもらうと、Key ExchangeとCipher Strengthのスコアが100に達していません。
ここを次項で修正していきます。
DNS CAA
SSLサーバ証明書を第三者が勝手に発行することを防止する仕組みです。
認証局(CA)はSSLサーバ証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局にSSLサーバ証明書の発行を許可しているかどうかをチェックします。
以下のサイトで、CAAレコードを生成して、DNSレコードに設定します。
当サイトのドメイン名(zaitakukinmu.com)、認証局(Let’s Encrypt)を指定すると以下のレコードが生成されます。
zaitakukinmu.com. IN CAA 0 issue "letsencrypt.org"
zaitakukinmu.com. IN CAA 0 issuewild ";"こちらをお名前.comから設定します。
再度チェックをするとDNS CAAのところがYesとなります。
Session resumption (caching)
2回目以降のセッション時は、初回のキャッシュを使い回すという内容ぽいです。
こちらは、LiteSpeedの管理画面から設定します。
左ナビのリスナー => 443ポートで設定したものを選択 => SSLタブに切り替え => セキュリティ & 機能 => セッションキャッシュを有効にするをオンにします。
ここで一旦、再起動し、再度テストをします。
HSTS
これを有効にすると、初回接続以降は、httpsで接続するようになる。
有効にしないとAが、評価の上限となり、有効にすることで A+ 評価になるとのことです。
バーチャルホスト設定 => コンテキスト => URIが”/”の設定から、Header Operationsに以下を設定します。
Strict-Transport-Security 'max-age=31536000;' always;
保存後、再起動し、再計測します。
とりあえず、A+になりました。
今回は、ここまでとします。