試しにサイトをSSL化したのだけれど
面白そうだから、下記のサイトでサイト評価を
してみたのだけれど。。。
まさかの「C」判定。。。
とりあえず、赤色の緊急のやつだけでも対応しておくか
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.
こんなメッセージ
POODLE対策のために、SSL 3.0 を無効にしなさいと言っているようだ。
環境は、
Apache/2.4.16
/etc/httpd/conf.d/ssl.conf
を修正すればよい
デフォルトの設定では
All (全許可)してから「SSL 2.0」のみを無効にしてたので
「SSL 3.0」も無効にしてあげる
// 修正前 SSLProtocol all -SSLv2 // 修正後 SSLProtocol all -SSLv2 -SSLv3
ただ、デフォルトでは、この設定は
の中にあるので、バーチャルホスト運用している場合は要注意w
反映されねぇ~って悩んでしまった。。
コメント