ウェブサイトがhttpsを有効にした後のSSLのセキュリティ構成と検出

最近のウェブサイトでは SSL を有効にするのが標準となっています。ただし、SSL を設定した後も、サーバーの展開が安全かどうかを判断する必要があります。適切に設定されていない場合、多くのセキュリティ リスクが発生します。

SSL/TLS ファミリーには、SSL v2、SSL v3、TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3 の 6 つのバージョンがあります。

SSL v2 は安全ではないため、使用しないでください。

SSL v3 は、HTTP で使用すると安全ではなく (POODLE 攻撃)、他のプロトコルで使用すると脆弱になります。また、時代遅れなので使用しないでください。

TLS v1.0 も、使用すべきではないレガシー プロトコルですが、実際には依然として必要とされることがよくあります。主な弱点 (BEAST) は最新のブラウザでは軽減されていますが、他の問題は残っています。

TLS v1.1、v1.2、v1.3 には既知のセキュリティ上の問題はないため、Web サイトの主要なプロトコルとして使用する必要があります。

SSLセキュリティを確認する

現在、SSL セキュリティをテストする主な Web サイトは 2 つあります。最もよく使用されているのは SSLLabs で、もう 1 つは国内企業が作成した MySSL です。テストの評価が A であれば合格、F であれば不合格です。

SSLセキュリティ構成

Windows Server の場合、レジストリを変更するだけで SSL セキュリティ設定が完了できます。また、IISCrypto という簡単な自動設定ツールがあります。ツールをダウンロードしたら、推奨設定を使用してセキュリティ設定を完了できます。使い方は非常に簡単です。

3.0 モード

設定を直接推奨し、最後に再起動を確認してから適用すると、設定後に自動的に再起動します。

123WORDPRESS.COM 編集者は次のように付け加えています:

テストの結果、アップグレード後に現在のマシンを別のサーバーにリモート接続する必要がある場合は、他のサーバーもアップグレードする必要があることがわかりました。