nginxの設定(SSL/TLS)
Qualys SSL Labsで確認しながら接続方法を改善しました。
最終結果 ↓

TLSv1.3の部分にAES_128_GCM_SHA256が残っているから満点になっていないけれど、これはnginx側で設定しても無理っぽいので、とりあえず今回の目的は達成。Cipher Strengthの残り10点はopenssl側で後日設定する。
変更するにあたって、点数の変化が大きいのは以下の部分だと思う。
ssl_ciphersの部分で方式を限定しないと128bitのものとかが紛れ込んでしまうので…
どういう設定をすると安全性が上がるのかについては、以下のページで説明されている。
めんどくさい人は、
2.3 Use Secure Cipher Suites
って書いてあるところにおすすめの方式がリストアップされている。
そこを見るとわかる通り、TLSv1.2とv1.3にしてリストでおすすめされているのを使うとまあ問題ない。TLSのバージョン指定とかで古いブラウザが死んだりはする(IEはまあ気にしないでいいよね)。
ただ、最近Diffie-Hellman鍵交換(DHEから始まってるやつ)に脆弱性が発見されたらしいので(うちにはそこまで危険性はなさそうだけれど)対処すると結局みんな同じような設定になるんじゃないかという気もする。
128bitでも結構安全(Score的には80%超を達成できる)だけど、今回の設定は無駄に頑張ってより安全になるように設定した。
プログラミング学習・備忘録②(Apache httpd)
webサイトにアクセス出来るようwebサーバー(Apache httpd)をインストールする
CentOSを起動し、端末を開いて
dnf install httpd
と入力すると確認画面が表示されるのでそのままyと入力してインストールを完了する。
webサーバのインストールが終わったので設定を変更する。
vi /etc/httpd/conf/httpd.conf とすると設定ファイルが開かれる

次にwebサーバのルートディレクトリを設定する。
/を入力し、「Document Root」を検索する。

設定が終わったらhttpdがCentOS起動時に自動で起動するようにする。
systemctl enable httpd
今回は再起動しないので起動もしておく
systemctl start httpd
試しに/var/www/html/index.htmlを作成し、「Hello」と記載してみる。
webサーバをインストールしたマシンのIPアドレス(今回は192.168.0.30)にアクセスして確認する。








