NGINX にて、SSL脆弱性チェック で、A以上を取れる設定を追求してみましょう。
1.DNS CAA
SSL更新の信憑性チェックらしいです。
これは、DNSにCAAレコードを設定することで、クリアのようです。
ここのサイトは、mydnsで、DNS登録しているので、mydnsにCAAを登録する必要があります。
SSL発行は、letsencrypt を利用しているので、DNS CAA に、letsencrypt を登録します。
mydnsに以下を登録します。
@ CAA 0 issue "letsencrypt.org"
@ CAA 0 issuewild ";"
@ CAA 0 0 iodef "mailto:
2.cipher
暗号強度ですかね。
これは、最新状況を適用しないとダメなやつです。
nginxの場合、全体設定をすれば良いですかね。
/etc/nginx/conf.d/ssl-nginx.conf
#Session Resumptionssl_session_cache shared:SSL:10m;ssl_session_timeout 60m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers "ECDHE-ECDSA-AES128-CBC-SHA:DHE-RSA-AES128-CBC-SHA:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384";
ここは、厳しくすると、旧ブラウザが接続出来なくなるので、気をつけましょう
