久々にApacheの設定

  • 投稿日:
  • by
  • カテゴリ:
  • ハッシュタグ:

最近、サーバー証明書でSHA-1が使えなくなるというニュースをよく目にします。 たとばこんなの。

ガラケーから一部Webサイトの利用が不可能に - サーバ証明書の切替えで | マイナビニュース

現在、フィーチャーフォンからインターネット接続する際には、通信の内容を安全に保護するため、サーバ証明書である「SHA-1証明書」を使用した暗号化通信が利用されている。2016年1月1日以降は、電子証明書に関わるガイドライン作成などを行う団体「CA/Browser Forum」の指針により、「SHA-1証明書」を発行できなくなる。
 
これに伴い、暗号化通信を利用するオンラインショッピングサイトや、インターネットバンキングサイトでは、「SHA-1証明書」から「SHA-2証明書」へサーバ証明書の切替えを行うケースが発生している。

ウチのサーバー証明書もSHA-1でした。
つか有効期限が2011年ってなんだよw それ以前の問題じゃん。

という訳で、新しくサーバー証明書を作りなおしました。
参考にさせて頂いたのは「Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.」です。 書いてあるとおりにやればバッチリでした。

それからSSLの設定も変更しました。
これまでもSSLv3の無効化とかはやってましたが、Chromeで「古い暗号化スイーツを使用している」とか言われちゃったんですよね。
こちらは「» ApacheのSSL設定を考えた TECHSCORE BLOG」を参考にしました。

とりあえずこれで「オレオレ証明書」を使っていること以外は、技術的な問題点は減ったはずです。

ssl_check_result.jpg

この次のステップとしては正式なサーバー証明書の導入です。

News & Trend - 「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響:ITpro

無償配布を始めるのは、米国のセキュリティ関連の非営利団体「ISRG(Internet Security Research Group)」。米電子フロンティア財団(EFF)や米アカマイ・テクノロジーズ、米シスコシステムズ、米モジラなどインターネット関連の名だたる企業や組織がスポンサーとなっている。このISRGが現地時間2014年11月18日、「Let’s Encrypt」というプロジェクトを立ち上げ、2015年夏にSSL証明書の無償配布を始めると発表し、世界中に衝撃を与えた。

9月から配布開始のようなので、もう少し待ちたいと思います。