teratail
回答率
85.35%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
トップSSLに関する質問
SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

Q&A

0回答

204閲覧

SSLCipherSuiteの設定について

nao20
nao20

総合スコア24

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

0グッド

0クリップ

投稿2020/10/18 03:31

編集2020/10/18 04:34

0

0

https://www.ssllabs.com/ssltest/analyze.html

こちらのサイトで、WEAKとなっていたchipher suiteを /etc/httpd/conf.d/ssl.conf (apacheの設定ファイル)にて、
SSLCipherSuite #{既存のsuite設定}:!#{weakのsuite名}
として記述して、再度上記のURLにアクセスしてテストしてみたのですが、まだ該当のsuite名がweakと出たままでした。

WEAKを消すには何か別に設定が必要でしょうか?
ご教授頂ければと思います。
よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yasutakatou
yasutakatou

2020/10/18 03:41

環境書かれていないですが、たぶんapacheですよね? weakを消す目的なら、該当cipher名の無効化って検索ワードでググってみた方が有効な手段が見つかりやすいですけど、その流れで対応してみてはいかがでしょうか?
nao20
nao20

2020/10/18 04:15

すみません、記述不足でした! はい、apacheです。 ありがとうございます! cipher名の無効化で調べてみようと思います。
yasutakatou
yasutakatou

2020/10/18 04:55

いえいえ。目的のcipherで絞って設定してみて、そのうえで無効化できないようであれば追記お願いします!もし解決したなら、その内容で。 お手数ですがご対応頂けますでしょうか。
nao20
nao20

2020/10/18 09:16

ありがとうございます! SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA385 で、/etc/httpd/conf.d/ssl.confを設定してみたのですが、例えば、 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK という形で、設定外のものがWEAKとして出ておりました... cipher disable等で調べたりしてみたのですが、やはりSSLCipherSuiteでcipherを絞ると良さそうなのですが、絞ってもまだWEAKがでており、まだ解決出来ずでした... もし何か知見ありましたら、ご教授頂ければと思います。
nao20
nao20

2020/10/18 10:21

https://testssl.sh/openssl-iana.mapping.html こちらを見て、TLS_RSA_WITH_AES_128_CBC_SHAのname(openssl)が、AES128-SHAだったので、下記のように確認してみました。 $ openssl ciphers -v "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA385:!AES128-SHA" -bash: !AES128-SHA": event not found やはり、AES128-SHAは制限して取らないようにしているので、Errorとなっているようでした。 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA385 こちらの設定では、本来`TLS_RSA_WITH_AES_128_CBC_SHA `のweakは出ないはずなのに、出ているのはやはり何かしら別の設定が読み込まれてしまっている可能性があるかと思い見ていたのですが、grepしても該当する箇所が他に見つからず... # grep -r "SSLCipherSuite" /etc/ /etc/httpd/conf.d/ssl.conf:SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA385
yasutakatou
yasutakatou

2020/10/18 12:13

https://qiita.com/papillon/items/f56a6f278609270a392c こちらにあるように -AES128 の指定ではどうでしょうか。またtomcatとかミドルウェアを挟んでいると そちらのSSL設定に影響されてしまうようですのでその点もご確認頂ければと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだ回答がついていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップSSLに関する質問

SSLCipherSuiteの設定について