LiteSpeedのインストールについては、以下の記事で書きましたので参考にしてみてください。
今回は、Qualys SSL Server Testで、とりあえずA+になるように設定していきます。
変更前の状態確認
SSL周りの設定は、前回まで、証明書と秘密鍵ファイルを指定しただけでした。
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079216/7b727f54a1eb8d79cc2757bb4fed7de5/7b727f54a1eb8d79cc2757bb4fed7de5.jpg?_i=AA 1000w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_183,c_scale/f_auto,q_auto/v1613079216/7b727f54a1eb8d79cc2757bb4fed7de5/7b727f54a1eb8d79cc2757bb4fed7de5.jpg?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_468,c_scale/f_auto,q_auto/v1613079216/7b727f54a1eb8d79cc2757bb4fed7de5/7b727f54a1eb8d79cc2757bb4fed7de5.jpg?_i=AA 768w)
評価は、Bとなっています。
変更箇所
プロトコルバージョン
こちらのメッセージの対応をします。TLS1.1がサポートされちゃってますということです。
TLS 1.0/1.1は、脆弱性があるので基本使わないようにしましょう。
This server supports TLS 1.1. Grade capped to B. MORE INFO »
左ナビのリスナー => 443ポートで設定したものを選択 => SSLタブに切り替え => SSL プロトコル => プロトコルバージョンを変更します。(初期設定では、未選択になっています)
TLS v1.2とTLS v1.3だけチェックします。
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079211/cf5dbf010af1d51a5e3ea266a5de698d/cf5dbf010af1d51a5e3ea266a5de698d.jpg?_i=AA 1000w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_146,c_scale/f_auto,q_auto/v1613079211/cf5dbf010af1d51a5e3ea266a5de698d/cf5dbf010af1d51a5e3ea266a5de698d.jpg?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_374,c_scale/f_auto,q_auto/v1613079211/cf5dbf010af1d51a5e3ea266a5de698d/cf5dbf010af1d51a5e3ea266a5de698d.jpg?_i=AA 768w)
ここで一旦、再起動し、再度テストをします。
1つの変更だけで、B => Aに変わりました。
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079206/5e054846ce22830425770bdab3dd8367/5e054846ce22830425770bdab3dd8367.jpg?_i=AA 1000w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_172,c_scale/f_auto,q_auto/v1613079206/5e054846ce22830425770bdab3dd8367/5e054846ce22830425770bdab3dd8367.jpg?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_441,c_scale/f_auto,q_auto/v1613079206/5e054846ce22830425770bdab3dd8367/5e054846ce22830425770bdab3dd8367.jpg?_i=AA 768w)
上の図を見てもらうと、Key ExchangeとCipher Strengthのスコアが100に達していません。
ここを次項で修正していきます。
DNS CAA
SSLサーバ証明書を第三者が勝手に発行することを防止する仕組みです。
認証局(CA)はSSLサーバ証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局にSSLサーバ証明書の発行を許可しているかどうかをチェックします。
以下のサイトで、CAAレコードを生成して、DNSレコードに設定します。
当サイトのドメイン名(zaitakukinmu.com)、認証局(Let’s Encrypt)を指定すると以下のレコードが生成されます。
zaitakukinmu.com. IN CAA 0 issue "letsencrypt.org"
zaitakukinmu.com. IN CAA 0 issuewild ";"
こちらをお名前.comから設定します。
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/w_1024,h_248,c_scale/f_auto,q_auto/v1613079201/4499911053dd8dc83face2bd5e3ed7a6/4499911053dd8dc83face2bd5e3ed7a6.png?_i=AA 1024w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_73,c_scale/f_auto,q_auto/v1613079201/4499911053dd8dc83face2bd5e3ed7a6/4499911053dd8dc83face2bd5e3ed7a6.png?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_186,c_scale/f_auto,q_auto/v1613079201/4499911053dd8dc83face2bd5e3ed7a6/4499911053dd8dc83face2bd5e3ed7a6.png?_i=AA 768w, https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079201/4499911053dd8dc83face2bd5e3ed7a6/4499911053dd8dc83face2bd5e3ed7a6.png?_i=AA 1328w)
再度チェックをするとDNS CAAのところがYesとなります。
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079197/53b3f34e7e2ff4ddd782c0d903089684/53b3f34e7e2ff4ddd782c0d903089684.png?_i=AA 846w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_65,c_scale/f_auto,q_auto/v1613079197/53b3f34e7e2ff4ddd782c0d903089684/53b3f34e7e2ff4ddd782c0d903089684.png?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_165,c_scale/f_auto,q_auto/v1613079197/53b3f34e7e2ff4ddd782c0d903089684/53b3f34e7e2ff4ddd782c0d903089684.png?_i=AA 768w)
Session resumption (caching)
2回目以降のセッション時は、初回のキャッシュを使い回すという内容ぽいです。
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/w_1024,h_137,c_scale/f_auto,q_auto/v1613079193/b19a8079c71c9cbfa301484f76107120/b19a8079c71c9cbfa301484f76107120.png?_i=AA 1024w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_40,c_scale/f_auto,q_auto/v1613079193/b19a8079c71c9cbfa301484f76107120/b19a8079c71c9cbfa301484f76107120.png?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_103,c_scale/f_auto,q_auto/v1613079193/b19a8079c71c9cbfa301484f76107120/b19a8079c71c9cbfa301484f76107120.png?_i=AA 768w, https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079193/b19a8079c71c9cbfa301484f76107120/b19a8079c71c9cbfa301484f76107120.png?_i=AA 1252w)
こちらは、LiteSpeedの管理画面から設定します。
左ナビのリスナー => 443ポートで設定したものを選択 => SSLタブに切り替え => セキュリティ & 機能 => セッションキャッシュを有効にするをオンにします。
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/w_1024,h_236,c_scale/f_auto,q_auto/v1613079188/7fd6c0f251db94ae6b4223aaff23de2e/7fd6c0f251db94ae6b4223aaff23de2e.png?_i=AA 1024w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_69,c_scale/f_auto,q_auto/v1613079188/7fd6c0f251db94ae6b4223aaff23de2e/7fd6c0f251db94ae6b4223aaff23de2e.png?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_177,c_scale/f_auto,q_auto/v1613079188/7fd6c0f251db94ae6b4223aaff23de2e/7fd6c0f251db94ae6b4223aaff23de2e.png?_i=AA 768w, https://res.cloudinary.com/dz7ruywxa/images/w_1536,h_354,c_scale/f_auto,q_auto/v1613079188/7fd6c0f251db94ae6b4223aaff23de2e/7fd6c0f251db94ae6b4223aaff23de2e.png?_i=AA 1536w, https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079188/7fd6c0f251db94ae6b4223aaff23de2e/7fd6c0f251db94ae6b4223aaff23de2e.png?_i=AA 1600w)
ここで一旦、再起動し、再度テストをします。
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079183/c1d18fe7045b72bc6058c9173d0792b7/c1d18fe7045b72bc6058c9173d0792b7.png?_i=AA 774w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_65,c_scale/f_auto,q_auto/v1613079183/c1d18fe7045b72bc6058c9173d0792b7/c1d18fe7045b72bc6058c9173d0792b7.png?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_167,c_scale/f_auto,q_auto/v1613079183/c1d18fe7045b72bc6058c9173d0792b7/c1d18fe7045b72bc6058c9173d0792b7.png?_i=AA 768w)
HSTS
これを有効にすると、初回接続以降は、httpsで接続するようになる。
有効にしないとAが、評価の上限となり、有効にすることで A+ 評価になるとのことです。
バーチャルホスト設定 => コンテキスト => URIが”/”の設定から、Header Operationsに以下を設定します。
Strict-Transport-Security 'max-age=31536000;' always;
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/w_1024,h_150,c_scale/f_auto,q_auto/v1613079179/cbb6fa0f7c61c0576c614e6de9b80f6d/cbb6fa0f7c61c0576c614e6de9b80f6d.png?_i=AA 1024w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_44,c_scale/f_auto,q_auto/v1613079179/cbb6fa0f7c61c0576c614e6de9b80f6d/cbb6fa0f7c61c0576c614e6de9b80f6d.png?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_113,c_scale/f_auto,q_auto/v1613079179/cbb6fa0f7c61c0576c614e6de9b80f6d/cbb6fa0f7c61c0576c614e6de9b80f6d.png?_i=AA 768w, https://res.cloudinary.com/dz7ruywxa/images/w_1536,h_226,c_scale/f_auto,q_auto/v1613079179/cbb6fa0f7c61c0576c614e6de9b80f6d/cbb6fa0f7c61c0576c614e6de9b80f6d.png?_i=AA 1536w, https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079179/cbb6fa0f7c61c0576c614e6de9b80f6d/cbb6fa0f7c61c0576c614e6de9b80f6d.png?_i=AA 1600w)
保存後、再起動し、再計測します。
![LiteSpeedで、Qualys SSL Server Testで、A+にする方法](https://res.cloudinary.com/dz7ruywxa/images/w_1024,h_571,c_scale/f_auto,q_auto/v1613079174/14b20e2908731f2f11971ac2617d7449/14b20e2908731f2f11971ac2617d7449.png?_i=AA 1024w, https://res.cloudinary.com/dz7ruywxa/images/w_300,h_167,c_scale/f_auto,q_auto/v1613079174/14b20e2908731f2f11971ac2617d7449/14b20e2908731f2f11971ac2617d7449.png?_i=AA 300w, https://res.cloudinary.com/dz7ruywxa/images/w_768,h_428,c_scale/f_auto,q_auto/v1613079174/14b20e2908731f2f11971ac2617d7449/14b20e2908731f2f11971ac2617d7449.png?_i=AA 768w, https://res.cloudinary.com/dz7ruywxa/images/w_1536,h_857,c_scale/f_auto,q_auto/v1613079174/14b20e2908731f2f11971ac2617d7449/14b20e2908731f2f11971ac2617d7449.png?_i=AA 1536w, https://res.cloudinary.com/dz7ruywxa/images/w_2048,h_1142,c_scale/f_auto,q_auto/v1613079174/14b20e2908731f2f11971ac2617d7449/14b20e2908731f2f11971ac2617d7449.png?_i=AA 2048w, https://res.cloudinary.com/dz7ruywxa/images/f_auto,q_auto/v1613079174/14b20e2908731f2f11971ac2617d7449/14b20e2908731f2f11971ac2617d7449.png?_i=AA 1600w)
とりあえず、A+になりました。
今回は、ここまでとします。