TLS_RSA_WITH_3DES_EDE_CBC_SHAを強力にする方法

Question

まず、暗号とは何なのかわからないので、私の知識はセキュリティに関して非常に基本的です。

そうは言っても、 this チュートリアルから安全なSSLサイトを確立し、ドメインで test を実行しましたが、評価は_A+_ですが、 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)はWEAKであることに気付きましたが、これは重要な問題ではないと思いますが、すべてが完璧であるため、この暗号も強化すると見栄えがよくなります。

誰かがこの弱い暗号を修正するのを手伝ってくれませんか？

Z.T. · Answer

そのガイドに従っている場合、nginx構成でこの行を使用しました。

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

あなたはその行を

ssl_ciphers '-ALL:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES';

次にnginxを再起動して、Qualysテストを再試行します（必要に応じて、Qualysテストページでキャッシュのクリアをクリックします）。さまざまなブラウザーと検索エンジンによるシミュレートされた接続の結果を比較して、Windows上のInternet Explorerの機能を失ったこと以外は何も変わっていないことを確認できますXPこれは損失ではありません。完全に安全ではありません。

将来、Ubuntu 14.04からChaCha20Poly1305をサポートするバージョンのopensslが同梱されているサーバーOSにアップグレードする場合、ssl_ciphersを調整する必要があります。これは、Ubuntu 18.04が1年後にリリースされたときと同じです。 Ed25519証明書に切り替える場合は必ず調整する必要があります。これには数年かかります（RSA 2048証明書はおそらく非常に長い間サポートされ、Ed25519は少なくとも1年間利用できなくなりますが、最終的には全員がアップグレード）。