TechSite.blog powered by shimarin @ayurina

IT技術から管理職・組織運営Howtoまで、日々の気づきを掘り下げるブログです。

DNS CAAに対応してQualys SSL LabsのSSL評価を再確認した話

time 2020/05/11

久々にSSLネタです。ついにDNS CAAに対応してみました。対応自体はそんなに難しくないです。そしてQualys SSL LabsのSSLTestを見てみたわけですが、まあこれが限界って感じです。

sponsored link

DNS CAAへの対応

まずはCAA対応について。DNS CAAに対応するためには、DNS CAAレコードタイプに対応したDNSサービスが必要です。

残念ながらこのサイトをホスティングしているConohaのDNSはCAAレコード対応していなかったので、レジストラであるお名前.comのDNSに切り替えて、CAAを設定してみました。

お名前.com Naviの「DNS設定/転送設定-ドメイン一覧」メニューから、「DNSレコード設定を利用する」を選択することで、DNSレコードを編集できます。これ特に申し込みなどしなくても無料で使えます。すぐ上に「お申込み」が必要なメニューがならんでいるので注意です。

設定する上で注意点は、TAGとVALUEの値を正しく設定するところでしょうか。このコンソールの表記順がDNSレコードの一般的な設定順と異なっているので、一瞬悩みます。よく見て正しく設定しましょう。

Qualys SSL LabsのSSL評価は変わらず

早速、SSLTestで確認してみました。

ちゃんとCAAも認識されています。ただし、評価はA+のままです。これ以上は無いのかな、というところです。

ちなみに、このサイト、TLS1.3対応もしており、SSLはECDSAとRSAのデュアルキーで、ほぼSSLについてやれることは一通りやってあるつもりです。それでも実はCipher Strengthは100に届きません。

これがA+になっているときのCipherリストです。WEAK表示があるのはブロックアルゴリズムでCBCを使っているものですが、ちなみにcipher設定でこれらを除外しても100にはなりません。

気になって調べてみたのですが、この理由はスコアの判定基準にあるようで、基本128bitのCipher Suiteがある限り100にはならないようです(一番強いものと弱いものが評価される)。TLS1.3を有効化していると、こちらで使えるCipher Suiteが3つしかなく、nginxでは現状まだTLS1.3のCipher Suiteは設定で調整できないので、原理的には100にはならないということのようです。

そんなわけで、これで現状のスコアは事実上最強ってことが確認できましたので満足です。完全に自己満足なんですが、暗号が強いってなんか嬉しいですよね。

sponsored link

down

コメントする




このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

中の人

しまりん

しまりん

自称クラウドエンジニア。ブログサーバーの性能改善に勤しむ一方、新しい技術は「動かしてみないと」「触ってみないと」気が済まない性分です。 新しいiPhoneやっぱり楽しい。



sponsored link

アーカイブ