スクリーンショット: 基本構成で SSL 証明書を使用して Wowza を実行しているサーバー
SSLLabs のデフォルト設定ではこの結果が得られます (スクリーンショットを参照)。設定を変更できるのはおそらく VHost.xml のみで、そこで次の項目を構成できます。
<SSLConfig>
<KeyStorePath></KeyStorePath>
<KeyStorePassword>[REMOVED]</KeyStorePassword>
<KeyStoreType>JKS</KeyStoreType>
<DomainToKeyStoreMapPath>${com.wowza.wms.context.VHostConfigHome}/conf/jksmap.txt</DomainToKeyStoreMapPath>
<SSLProtocol>TLS</SSLProtocol>
<Algorithm>SunX509</Algorithm>
<CipherSuites></CipherSuites>
<Protocols></Protocols>
</SSLConfig>
私はこれを読んだhttps://www.wowza.com/docs/ssl-configuration の改善方法、しかし、あまり役に立ちません。
質問: より最新の SSL 構成を取得するには、「暗号スイート」と「プロトコル」の項目に何を追加すればよいですか? また、それについてはどこで読むことができますか?
答え1
あなたが提供したドキュメント リンクには、使用されているサーバー ソフトウェアについては記載されていません。ただし、ログに記録されたメッセージから、一般的な OpenSSL 用語を理解していると結論付けています。
nginx で次の設定を使用して、A から A+ の評価を取得しています。
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH !DHE !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
ssl_protocols "TLSv1 TLSv1.1 TLSv1.2";
(おそらく、カンマ区切りのリストを指定する必要があります。サーバー ソフトウェアによって異なります。)
これならB評価を得るには十分でしょう。
私は次の文も使います:
ssl_prefer_server_ciphers on;
これにより、クライアント側からのセキュリティの低下が防止されます。投稿した構成で設定できるオプションが見つからないため、プロバイダーがこれをデフォルトで実行していることを願います。
さらに実装できる場合はHSTS評価を A+ に向上できます。HSTS を実装するということは、次のような HTTP ヘッダーを配信することを意味します。
Strict-Transport-Security: max-age=31536000; includeSubDomains
これにより、最新のブラウザは、過去 31,536,000 秒以内にこのヘッダーを発行したサーバーへの安全でない接続を拒否します。