NginxをHTTP/2対応にした話2

Nginx

Nginx

ここの方法でHTTP/2に対応させると
Firefox 47系ではうまく表示されないという不具合が生じた.

Firefoxをメインに使ってるので直す.

Nginxの設定でCipherリストの部分が問題っぽかったので以下のように変更.

# ssl_ciphers  ECDHE+AESGCM:DHE+AESGCM:HIGH:!aNULL:!MD5;
ssl_ciphers  AESGCM:HIGH:!aNULL:!MD5;

これで一応はうまく動く.

Mozilla SSL Configuration Generatorで確認すると, Cipherリストでは以下が推奨されているっぽい.

ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';

これに書き換える.

OCSP Stapling

ついでにOCSP Staplingに対応させる.

現在インストールしてある証明書からルート証明がどこかを確認.

$ sudo openssl s_client -connect www.lapis-zero09.xyz:443 -tls1 -status -reconnect 2>&1 < /dev/null | grep issuer
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3

ルート証明書がない場合はダウンロード
lets encryptでインストールした証明書では/etc/letsencrypt/live/{FQDN}以下にchain.pemがあるので活用
Nginxの設定ファイルに以下を記述.

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/{FQDN}/chain.pem;

以下のコマンドでOCSPに対応したかを確認.

$ echo QUIT | openssl s_client -connect www.lapis-zero09.xyz:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'
OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
    Produced At: Jul  8 20:05:00 2016 GMT
 ~~省略~~

OCSP Response Statusがsuccessfulとなっていれば対応完了
できていなければエラーログ確認
SSLLabのテストもやってみる.
(A+が出る(2016-07-09))

以上.

Go Top