자유 게시판

NGINX SSLLab 100점 설정 (내용및 설정 추가)

2017.09.08 08:34

DarknessAngel 조회:454

모든 점수 100점입니다 (4096bit 암호화 + 384bit 커브라는 상당히 무거운 설정이므로 처리해야할 패킷이 많은 경우는 추천하지 않고, AES-NI 지원되는 머신에서만 써주세요)

 

1.png

2.png

3.png

4.png

5.png

6.png

 

효율 조금이라도 중시한다면 일부 고치셔야합니다

 

초회 https 리다이렉트는 물른이고, 에러처리, 로그설정까지 다 들어있습니다

 

파일 경로등은 알아서 고쳐서 써주세요

 

100점 뜨게 만들려면 생성에 긴 시간(7세대에서 10분)이 소비되지만, DH생성시 반.드.시 4096비트를 쓰셔야 합니다 (8192비트 생성하신다면 최저 몇시간은 각오하셔야합니다)

 

OCSP Must Stample을 활성화하실려면 인증서 생성시 OpenSSL conf에서
[ v3_req ]를 찾으신후 최하단에
1.3.6.1.5.5.7.1.24 = DER:30:03:02:01:05
1줄 추가후 생성해주셔야 합니다

 

CAA는 도메인의 DNS전파값에 CAA항목을 추가하셔야 활성화됩니다

 

커브에 X25519를 넣으면 (설령 뒤쪽에 넣더라도) TLS1.3경우 이게 우선시됩니다 (스캐너 결과에서 -10점 됩니다)

 

다만 효율 고려시 X25519를 우선 설정하시길 추천합니다 (차후 X448이 지원되면 X448:X25519:secp384r1순으로 설정하시길 추천합니다) (secp521r1은 크룸이 미지원이라 호환성용 커브는 384를 남겨두시길 추천합니다)

 

이 설정으로도 Windows 7 SP1 + IE8(단 인터넷 옵션에서 TLS1.2 활성화) MSDN이미지로도 접속 가능한걸 확인했으므로 XP SP3 + IE6~8을 고려하시는게 아닌 이상 하위 호환성은 신경 안 쓰셔도 됩니다 (Android 4대 순정 브라우저도 시험 완료)

 

 

-----------------------------------------------------------
User Agent 감지 기능을 추가하였습니다

 

이를 통해 TLS1.2를 사용 불가능한 브라우저를 걸려낼 수 있습니다

 

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/User-Agent/Firefox
http://www.useragentstring.com/pages/useragentstring.php?name=Chrome
https://msdn.microsoft.com/en-us/library/ms537503(v=vs.85).aspx
를 참조하여 User Agent값 확인하였고,

 

https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers
를 참조하여 필요 버전 확인했습니다

 

추신 : TLS 1.2 지원 여하를 감지하게 만들려고 했는데, 대체 뭘 지정해야하는지도 모르겠군요

 

번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
30869 곰플레이어 plus 무료? [1] 까닭 1307 09-11
30868 이번주 9월달 정기업데이트 윈도우10 RS3 RTM후보빌드 예정 [6] 에드힐스 1440 09-11
30867 컴퓨터 사용하다가 만난 이해못할 오류들 적어보기 [5] 윈도우사용 713 09-11
30866 무료 9 Windows 유틸리티를 가져옵니다 [2] coomok 882 09-11
30865 V3 오진 - AOMEI Backupper 4.0.6 efny 631 09-11
30864 동기화 프로그램 추천좀 부탁드립니다. [4] 유기농초코 568 09-11
30863 EasyDrv7_7.17.816.1_Dev (2017.09.08) 나왔네요 [14] suk 1657 09-11
30862 프리모 램디스크 복원 [7] bleach 1323 09-10
30861 요청드립니다 [2] 미니100 717 09-10
30860 떳다! 떳다! claunch가 떴다. [4] 둔갑술사_ 1491 09-10
30859 게임기 초보 입니다.. [2] 테츠로 479 09-10
30858 suk 님 구글드라이브 인제 12월에 중단한다는데요 [6] friqanci 1721 09-10
30857 도장(인장)만드는 프로그램... [5] 淸沙 3881 09-09
30856 윈도우 업데이트 중 입니다...... 호두 1038 09-09
30855 컴퓨터 로 만 tv시청하시는 분 계신가요 [7] tuzki 1845 09-09
30854 리눅스에 대해서 한가지 더 여쭈어 볼께 있는데요 [5] friqanci 406 09-09
30853 크리에이티브 업데이트 관련 질문입니다 [4] bongi 523 09-09
» NGINX SSLLab 100점 설정 (내용및 설정 추가) DarknessAn 454 09-08
30851 윈도10 레드스톤3 인사이더 프리뷰 이번 주는 나오지 않습니다 [3] suk 863 09-08
30850 리눅스 iso 파일은 usb 에 어떻게 굽나요? [6] friqanci 947 09-07
XE1.11.6 Layout1.4.8