非推奨のTLSバージョンを無効にするお話

TLS1.1は古いサーバだと設定が残っていることも多いかもです。

IEをメインで使っている人ももうほとんどいないでしょうしセキュリティ的に無効にしたほうがいいでしょう。

参考

How to remove TLSv1.0 / 1.1 and enable TLS 1.3 in Nginx – libre-software.net – Linux, Firefox, LibreOffice

Photo: libre-software.net. License: CC BY-SA 4.0 … on Ubuntu 18.04, 20.04 or 22.04 Last updated on October 10, 2022In January 2020, SSL Labs started to downgrad...

OpenSSLのバージョンは1.1.1以上で。

conf設定

NGINXのconfで下記を設定します。

     ssl_protocols TLSv1.2 TLSv1.3;
     ssl_ciphers "AES128+ECDHE:AES256+ECDHE:AES128+EDH:AES256+EDH:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4!CAMELLIA!AES128-SHA!AES128-SHA256!AES128-GCM-SHA256:!AES256-GCM-SHA384:!AES256-SHA256:!AES256-SHA!AES256-CCM8!AES256-CCM!AES128-CCM!ARIA128-GCM-SHA256!AES128-CCM8!ARIA256-GCM-SHA384";

ALBを使用している場合はセキュリティポリシーを適宜変更します。

設定後、下記のように動作確認。

# openssl s_client -connect test1.hoge:443 -tls1_1
...
...
...
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
...
...
...

New, (NONE), Cipher is (NONE)で無効になっている。

# openssl s_client -connect test1.hoge:443 -tls1_2
...
...
...
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
...
...
...

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256で有効になっている。

脆弱性対応はしっかりやっておきたいです。