Server

CentOS6のLAMP環境でTLS1.2対応

投稿日:2018年5月1日 更新日:

はじめに

ものすごくひさしぶりにLAMP環境のSSL設定周りを見直す機会があり、その時の調査・作業メモになります。
個人運用のサービスで利用している決済代行会社から、TLS1.2未満が近々利用停止となる旨を通知されたことがきっかけでした。
いささかレガシーな構成ですが、これから同様の作業をする方の助けになればと思います。

業界団体レベルでのTLS1.2移行

PCI DSSという、クレジットカード業界が策定する国際セキュリティ基準があり、その最新版v3.2において、SSLおよびTLS1.1の初期バージョンを用いた通信の実装が禁止されています。
PCI DSS v3.2 — SSLおよび初期TLS1.1の実装を禁止

本来は2017年5月1日の時点で禁止となっていましたが、2018年6月30日までの移行猶予期間が設けられています。
今回、決済代行会社からTLS1.2移行の通知が来たのも、この猶予期間の終了に合わせてのものだと思います。

構成

  • CentOS release 6.9 (Final)
  • Apache/2.2.15 (Unix)
  • OpenSSL 1.0.1e-fips

いずれもyumでサクッと。

ssl.confを編集する

  • 設定ジェネレータ

    Mozilla SSL Configuration Generatorが便利です。
    このジェネレータにApacheとOpenSSLのバージョンを入力するだけで、ssl.confで要編集となる項目を出力してくれるすぐれものです。ApacheだけではなくNginxやlighttpd、AWS ELB等に対応しています。
    FirefoxやThunderbirdの開発元であるMozzilaが提供しているという点も安心です。

  • 計測ツール

    SSL/TLS通信の強度を測る無料のwebツールがありますので、設定後はこれを使って確認していきます。
    デフォルト設定のままで測定するとA〜F(Aが最高)でCランクとなり、各種脆弱性が指摘されます。今回のように決済などが絡んでいなくても、脆弱性の放置はそれだけで危険ですので、公開状態のサーバの設定はこまめに見直しましょう(自戒)。

ジェネレータ任せでOK

出力結果のスクリーンショットです。

※ 設定作業は2018年4月上旬に行っており、その時点では出力内容そのままではなく、多少追記が必要だったのですが、この記事を書くにあたって再度試したところ、なんとコピペだけでA+評価を取り、全ての脆弱性を塞ぐことができてしまいました。Mozilla先輩さすがです。
(証明書のファイルパスは適宜書き換えてください)

なお、設定に際して軽くハマったのですが、 SSLProtocol SSLCipherSuite SSLHonorCipherOrder の3項目はVirtualHostの外に記述しないと、Apacheが認識してくれません。
ssl.confを何度編集してもツールの評価が変わらず、1時間近くムダにしました…。

設定変更の影響

古いプロトコルを切り捨てることにより、下記の端末がサポート外になってしまいます。

  • IE10以下
  • Safari 6.0.4以下
  • Android 4.3以下
  • フィーチャーフォン全般

上記端末は非推奨などではなく、https接続そのものが不可となります。セキュリティ強度とのトレードオフになりますが、2018年現在ではあまり問題無い範囲かと思います。
(とはいえ、フィーチャーフォンでの接続も想定するサービスでは、頭が痛いかもしれませんが…)

さいごに

作業自体はコピペと数回のコマンド実行で済んでしまいますが、自分が何をどう変更したのか、作業内容を理解しておく必要がありますので、参考リンクを並べておきます。各記事の執筆者の方々に感謝いたします。

blog-page_footer_336




blog-page_footer_336




-Server

執筆者:

免責事項

このブログは、記事上部に記載のある投稿日時点の一般的な情報を提供するものであり、投資等の勧誘・法的・税務上の助言を提供するものではありません。仮想通貨の投資・損益計算は複雑であり、個々の取引状況や法律の変更によって異なる可能性があります。ブログに記載された情報は参考程度のものであり、特定の状況に基づいた行動の決定には専門家の助言を求めることをお勧めします。当ブログの情報に基づいた行動に関連して生じた損失やリスクについて、筆者は責任を負いかねます。最新の法律や税務情報を確認し、必要に応じて専門家に相談することをお勧めします。


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


関連記事

aws

LocalStackのLambdaをホットリロードさせる

1 はじめに2 全体の流れ2.1 コードの変更を検知する2.2 ファイルをビルドしてdeployする3 ホットリロードを実現する3.1 deployスクリプトを作成する3.2 Watchmanのラッパ ...

no image

Firestoreのルール設定とdumpやrestoreが簡単に行えるfsrpl

1 はじめに2 Firestoreのルール設定2.1 全て許可2.2 本番環境でのルール設定例3 fsrpl3.1 fsrplとは3.2 インストール3.3 秘密鍵3.4 copy3.5 開発環境から ...

https-portalで既存のdocker環境をhttps化

1 はじめに2 https-portalとは3 設定ファイル3.1 docker-compose.yml3.2 default.conf4 説明4.1 docker-compose.yml4.2 de ...

同じレコードがないときだけインサートする!

はじめに あるアイテムを持っていない人だけ、別のアイテムをあげたい! もしくはその逆で、あるアイテムを持っている人に追加でアイテムをあげたい! そういうことってないでしょうか? 先日、僕がそのような状 ...

aws

Amazon EC2を使ってみる

1 はじめに2 事前準備2.1 ルートアカウントのMFAを有効化2.2 個々のIAMユーザの作成(及びグループの作成)2.3 IAMユーザのMFAを有効化2.4 IAMパスワードポリシーの適用3 EC ...

フォロー

blog-page_side_responsive

2018年5月
 12345
6789101112
13141516171819
20212223242526
2728293031  

アプリ情報

私たちは無料アプリもリリースしています、ぜひご覧ください。 下記のアイコンから無料でダウンロードできます。