TLS/SSL コンフィギュレーション スニペット グレーダ
ガイド
TLS/SSL コンフィギュレーション スニペット グレーダ
Apache または Nginx の TLS/SSL コンフィギュレーション ブロックを貼り付けて、Mozilla のサーバー側 TLS リーダーに従って即座に A~F の評価を受けてください。評価者は、古くのプロトコル、弱い暗号、HSTS の欠如、およびその他のセキュリティ問題をフラグし、Mozilla に準拠した置き換えセグメントを提案し、それをサーバー設定に直接コピーできます。
使用方法
- Apache
SSLProtocol/SSLCipherSuiteディレクティブまたは Nginxssl_protocols/ssl_ciphersブロックを入力エリアに貼り付けます。 - (オプション) サーバー種類を選択してください — 多くのセグメントには自動検出が機能します。
- ターゲットとなる Mozilla プロファイルを選択してください:現代的(TLS 1.3 のみ)、中間(推奨)、または古く(legacy クライアント)。
- 評価カードを確認し、各発見を展開して、どのディレクティブが減点を引き起こしたかを正確に確認します。
- 底部にある提案された置き換えセグメントをコピーし、サーバー設定に統合します。
機能
- 決定論的な A~F 評価 — 同じ入力が常に同じスコアを生成し、会話型 AI のアドバイスとは異なります。
- Apache および Nginx のサポート — 両方のスタイルを解析します
SSLProtocol/SSLCipherSuiteとssl_protocols/ssl_ciphers。 - Mozilla プロファイルの一致 — Modern、Intermediate、または Old を選択して、あなたの利用者に必要なプロファイルに従って評価します。
- 古くのプロトコルの検出 — SSLv2、SSLv3、TLS 1.0 および TLS 1.1、POODLE/DROWN/RFC 8996 コンテキストをフラグします。
- 弱い暗号の検出 — RC4、3DES、EXPORT、NULL、aNULL、MD5 およびその他のリスクのあるトークンを検出します。
- HSTS および OCSP スタピングのチェック –
Strict-Transport-Security欠如またはmax-ageが低い場合。 - 置き換えセグメント — 検出したサーバー種類に合わせて、Mozilla に準拠したコンフィギュレーション ブロックを自動生成します。
- クライアント側およびプライベート — すべての解析はブラウザ内で実行され、サーバーに送信されません。
よくある質問
-
前向きセキュリティとは何ですか?そしてなぜそれが重要ですか?
前向きセキュリティとは、各 TLS セッションが一時的なエピソードキー(通常は ECDHE または DHE)を使用することを意味します。攻撃者がサーバーの長期的なプライベートキーを後で侵害した場合でも、過去に記録したトラフィックを解読することはできません — すべてのセッションは個別の一時キーを使用しています。ECDHE_ または DHE_ で始まる暗号化セッションは前向きセキュリティを提供し、古い RSA キー交換セッションは提供しません。
-
なぜ TLS 1.0 は安全性が低いと見なされるのですか?なぜなら、完全な攻撃が知られていないからですか?
TLS 1.0(1999年)は弱い擬似乱数関数(MD5+SHA1)を使用しており、BEAST およびいくつかのパディングオーバーフロー攻撃(POODLE TLS、Lucky 13)に脆弱です。主要なブラウザベンダーおよびPCI DSSはサポートを削除し、RFC 8996はTLS 1.0および1.1を正式に非推奨にしました。完全な攻撃がなくても、このプロトコルは現代のセキュリティ基準を満たしていません。
-
HSTS は実際にどのようなものに保護していますか?
HSTS(HTTP Strict Transport Security)は、ダウングレードおよびSSLストリーリング攻撃を防ぎます。ブラウザがStrict-Transport-Securityヘッダーを確認した後、max-ageの期間中にHTTPでサイトを読み込むことを拒否します — ユーザーがhttp://をタイプしたり、httpリンクをクリックした場合でも同様です。HSTSがないと、ネットワーク上の攻撃者が最初の明文リクエストをインターセプトし、HTTPSへのリダイレクトまでを防げません。
-
OCSP スタピングはセキュリティとパフォーマンスをどのように改善しますか?
OCSP スタピングは、サーバーが証明書機関から署名された有効性ステートメントを事前に取得し、TLSハンドシェイクに「スタピング」して付与する機能です。クライアントは別途OCSPクエリを実行する必要がなく、1回のリクエストを節約し、CAがユーザーが訪問するサイトを知ることを防ぎます。また、CAのOCSPレスポンダーが遅いまたはオフラインの場合にも、安全に動作します。
-
Mozilla の現代的、中間的、古くのプロファイルの違いは?
現代的プロファイルは、TLS 1.3 をサポートするクライアント(Chrome 70+、Firefox 63+、Safari 12.1+)に向けており、最も強いセキュリティと最小の互換性範囲を提供します。中間プロファイルはTLS 1.2および1.3をサポートし、選定された暗号リストを提供しており、ほとんどの公開サイトの推奨デフォルトです。古くのプロファイルは、TLS 1.0 までをサポートし、古いクライアント(Windows XP、Android 4)に合わせて弱い暗号を許容します — これは、本当に必要であればのみ選択してください。
恵 スコアボードが到着しました!
スコアボード ゲームを追跡する楽しい方法です。すべてのデータはブラウザに保存されます。さらに多くの機能がまもなく登場します!
