LiteSpeedで、Qualys SSL Server Testで、A+にする方法

LiteSpeedで、Qualys SSL Server Testで、A+にする方法

2021年2月11日
ツール
Pocket

LiteSpeedのインストールについては、以下の記事で書きましたので参考にしてみてください。

nginxから第4のWebサーバLiteSpeedに変更する
当ブログは、さくらのVPSに、WordPressで運用をしています。 Core Web Vitalsが、5月からGoogleの検索ランキング要因として導入される…
zaitakukinmu.com

今回は、Qualys SSL Server Testで、とりあえずA+になるように設定していきます。

A comprehensive free SSL test for your public web servers.
www.ssllabs.com

変更前の状態確認

SSL周りの設定は、前回まで、証明書と秘密鍵ファイルを指定しただけでした。

LiteSpeedで、Qualys SSL Server Testで、A+にする方法

評価は、Bとなっています。

変更箇所

プロトコルバージョン

こちらのメッセージの対応をします。TLS1.1がサポートされちゃってますということです。

TLS 1.0/1.1は、脆弱性があるので基本使わないようにしましょう。

This server supports TLS 1.1. Grade capped to B. MORE INFO »
LiteSpeedで、Qualys SSL Server Testで、A+にする方法
昨年、当コラムにて「いつかTLS 1.0/1.1は利用できなくなる」と言及しましたが、ついにその時が2020年上半期(最短で2020年1月)に迫りました。今回は…
ssl.sakura.ad.jp

左ナビのリスナー => 443ポートで設定したものを選択 => SSLタブに切り替え => SSL プロトコル => プロトコルバージョンを変更します。(初期設定では、未選択になっています)

TLS v1.2とTLS v1.3だけチェックします。

LiteSpeedで、Qualys SSL Server Testで、A+にする方法
プロトコルバージョンを指定する

ここで一旦、再起動し、再度テストをします。

1つの変更だけで、B => Aに変わりました。

LiteSpeedで、Qualys SSL Server Testで、A+にする方法

上の図を見てもらうと、Key ExchangeとCipher Strengthのスコアが100に達していません。

ここを次項で修正していきます。

DNS CAA

SSLサーバ証明書を第三者が勝手に発行することを防止する仕組みです。
認証局(CA)はSSLサーバ証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局にSSLサーバ証明書の発行を許可しているかどうかをチェックします。

以下のサイトで、CAAレコードを生成して、DNSレコードに設定します。

当サイトのドメイン名(zaitakukinmu.com)、認証局(Let’s Encrypt)を指定すると以下のレコードが生成されます。

zaitakukinmu.com.	IN	CAA	0 issue "letsencrypt.org"
zaitakukinmu.com.	IN	CAA	0 issuewild ";"

こちらをお名前.comから設定します。

LiteSpeedで、Qualys SSL Server Testで、A+にする方法

再度チェックをするとDNS CAAのところがYesとなります。

LiteSpeedで、Qualys SSL Server Testで、A+にする方法

Session resumption (caching)

2回目以降のセッション時は、初回のキャッシュを使い回すという内容ぽいです。

LiteSpeedで、Qualys SSL Server Testで、A+にする方法

こちらは、LiteSpeedの管理画面から設定します。

左ナビのリスナー => 443ポートで設定したものを選択 => SSLタブに切り替え => セキュリティ & 機能 => セッションキャッシュを有効にするをオンにします。

LiteSpeedで、Qualys SSL Server Testで、A+にする方法

ここで一旦、再起動し、再度テストをします。

LiteSpeedで、Qualys SSL Server Testで、A+にする方法

HSTS

これを有効にすると、初回接続以降は、httpsで接続するようになる。

有効にしないとAが、評価の上限となり、有効にすることで A+ 評価になるとのことです。

バーチャルホスト設定 => コンテキスト => URIが”/”の設定から、Header Operationsに以下を設定します。

Strict-Transport-Security 'max-age=31536000;' always;
LiteSpeedで、Qualys SSL Server Testで、A+にする方法

保存後、再起動し、再計測します。

LiteSpeedで、Qualys SSL Server Testで、A+にする方法

とりあえず、A+になりました。

今回は、ここまでとします。