K-ledges / ナレジズ

by ケープロジェクト

今さらながらTLS1.2への対応(1)

Pocket
LINEで送る

弊社でのテレワーク体制での業務がスタートして、気が付けばあっという間に一ヵ月が経過しました。
テレワークが進むと、社内の開発メンバーとのコミュニケーションの方法が変わり効率化される部分と、多少不便に感じる部分とが出てきました。
また、お客様との打ち合わせでも積極的にWEBミーティグを提案していることと、ほとんどのお客様にWEBミーティグでの対応にご理解いただける状況が増えてきたことで、移動に費やす時間をゼロにすることができました。
これらの状況から、これまでやらなきゃと思っていたことにもようやく対応できる時間がとれたため、徐々に進めていこうと考えています。

「保護されていない通信」に対応

業務の効率化が進み、これまでやらなきゃと思っていたことにもようやく対応できる時間がとれたため、少しづつ棚卸しをしながら徐々に対応をスタートさせてきした。
そんな中で、これまで放置していた事柄の一つが「保護されていない通信」問題です。恥ずかしながらかなり長い期間放置してきてしまっておりました。。。
https://webmaster-ja.googleblog.com/2018/07/marking-HTTP-as-not-secure.html
これは、WEBサーバーのTLSのバージョンが1.2に対応していない場合にChromeのアドレスバーの左側に表示されてしまいます。

あっさりとサーバー移行

取り急ぎ、約7年程度使っていたCentOS5.9のサーバーとはあっさりおさらばしました。
CentOSの5系ではそもそも、TLS1.2に必要なopensslのバージョンがあがらず、ApacheとOpenSSLそれぞれをソースからコンパイルしてインストールする必要がありました。
お客様先の環境で、このような対応を行わなくてはならない状況などもありましたが、弊社の環境では静的コンテンツとWordPressを少し動作させている程度でしたので、rsyncで躊躇なく新しい環境に複製し、新サーバーにて心機一転立ち上げなおしました。
新サーバーはAmazon Linux2の環境で構築したため、最初からOpenSSLは1.0.2でTLS1.2をサポートしていたため、Apacheの設定ファイルだけ確認して「保護されていない通信」問題に対応しました。

スコア形式で評価してくれる「Qualys SSL Labs」

今回、TLS1.2への対応を行いながら、WEBサーバーのSSL通信の設定に関してスコア形式で評価してくれる「Qualys SSL Labs」のSSL Server Test(https://www.ssllabs.com/ssltest/index.html)での評価をもとにテストを行いました。
CentOS5.9の方のWEBサーバーはTLS1.2に対応していなかったため「C」スコアでした。
サーバー以降を行いTLS1.2への対応により「B」スコアに評価があがり対応完了。。。。となるはずでしたが、スコアには「A」や「A+」と言った、より上位の評価があるではないですか!!!
より高みがあるのであれば、一度はその高みに登り詰めたい!!と思うのが技術者の性(サガ)!!

という事で、次回からは、「A+」に登り詰めるまでの対応について、その設定の内容を説明していきます。

Pocket
LINEで送る

システム開発・IT支援のご相談お受けいたします

社内ネットワーク環境の構築から、DX導入まで、中小企業のIT化を支援いたします。

ケープロジェクトに問い合わせる