久々にSSLネタです。ついにDNS CAAに対応してみました。対応自体はそんなに難しくないです。そしてQualys SSL LabsのSSLTestを見てみたわけですが、まあこれが限界って感じです。
DNS CAAへの対応
まずはCAA対応について。DNS CAAに対応するためには、DNS CAAレコードタイプに対応したDNSサービスが必要です。
残念ながらこのサイトをホスティングしているConohaのDNSはCAAレコード対応していなかったので、レジストラであるお名前.comのDNSに切り替えて、CAAを設定してみました。
お名前.com Naviの「DNS設定/転送設定-ドメイン一覧」メニューから、「DNSレコード設定を利用する」を選択することで、DNSレコードを編集できます。これ特に申し込みなどしなくても無料で使えます。すぐ上に「お申込み」が必要なメニューがならんでいるので注意です。
設定する上で注意点は、TAGとVALUEの値を正しく設定するところでしょうか。このコンソールの表記順がDNSレコードの一般的な設定順と異なっているので、一瞬悩みます。よく見て正しく設定しましょう。
Qualys SSL LabsのSSL評価は変わらず
早速、SSLTestで確認してみました。
ちゃんとCAAも認識されています。ただし、評価はA+のままです。これ以上は無いのかな、というところです。
ちなみに、このサイト、TLS1.3対応もしており、SSLはECDSAとRSAのデュアルキーで、ほぼSSLについてやれることは一通りやってあるつもりです。それでも実はCipher Strengthは100に届きません。
これがA+になっているときのCipherリストです。WEAK表示があるのはブロックアルゴリズムでCBCを使っているものですが、ちなみにcipher設定でこれらを除外しても100にはなりません。
気になって調べてみたのですが、この理由はスコアの判定基準にあるようで、基本128bitのCipher Suiteがある限り100にはならないようです(一番強いものと弱いものが評価される)。TLS1.3を有効化していると、こちらで使えるCipher Suiteが3つしかなく、nginxでは現状まだTLS1.3のCipher Suiteは設定で調整できないので、原理的には100にはならないということのようです。
そんなわけで、これで現状のスコアは事実上最強ってことが確認できましたので満足です。完全に自己満足なんですが、暗号が強いってなんか嬉しいですよね。
コメント