Q&A
運用しているサイトの証明書を更新する必要があり、新証明書が完了し、切替を実施したいと思ってます。
新証明書が正常に動作するか、ローカルのVMに設置し、
openssl s_client -verify コマンドによる中間証明書のCHAIN確認を実施し、問題ないことを確認しました。
一点だけ新旧の証明書でciphersの方式だけ違うのですが、
Cipher : DHE-RSA-AES256-SHA
Cipher : AES256-SHA
この差分で影響がでることはあるでしょうか。
また、新証明書に問題ないことを確認する手段が他にあれば、ご教示頂きたいです。
よろしくおねがいいたします。
回答2件
0
ベストアンサー
一点だけ新旧の証明書でciphersの方式だけ違うのですが、
Cipher : DHE-RSA-AES256-SHA
Cipher : AES256-SHA
httpsだからというだけで安全?調べたら怖くなってきたSSLの話!?によると、上記の2つで鍵交換のアルゴリズムが違います。 DHE-RSA-AES256-SHA の鍵交換アルゴリズムは DHE で、 AES256-SHA の鍵交換アルゴリズムは RSA ですね。
それで、この差をどう考えたら良いかについてですが、鍵交換アルゴリズムはサーバとクライアントが実際に通信するときにネゴシエーションして決まるものであって、証明書の内容に依存するものではないと思います。つまり、上記差分はサーバの設定(たとえば、nginx のssl_ciphers の値)かクライアント(たとえば、 openssl コマンドのバージョン)の差によって生じていると推測されます。
したがって、サーバ証明書の内容的には差がなく、問題はないと言えるのではないでしょうか。
投稿2017/01/17 09:11
総合スコア3401
0
表示される Cipher は、証明書が持つ情報ではなく、サーバーと s_client 間でどの暗号化スイートを使うかネゴシエーションした結果だと思います。
投稿2017/01/17 09:11
総合スコア12146
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。