TLS 1.1以下の対応を無くし、TLS 1.2と1.3だけを有効化
背景
- PCI DSS 3.2では、SSLとTLS1.1は2018年6月28日までに無くさなければいけないと明示している。
- Visaは2018年2月にTLS1.1以下を無効にする主旨を発表し、各プログラミング言語に応じた移行方法を出している。
最近の流れ
- 新規でhttpsサーバを構築するならば、TLS1.2のみを有効にしておく
- TLS1.3は現在Working Draft
- TLS1.2と1.3の違い
設定
このサイトで、TLS 1.3を使えるように設定してみました。
- nginx 1.12を使っていましたが、nginxはバージョン1.13からTLS 1.3 draftに対応しているので、nginxを1.13にアップグレードしました。
- ssl関連の設定を抜粋するとこんな感じです。TLS 1.3のcipherが優先されます。
|
1 2 3 |
ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:ECDHE:!COMPLEMENTOFDEFAULT'; |
- ssllabsでテストをしてみましたが、TLS 1.3はドラフトなのでちゃんと認識されない模様です。FirefoxでTLS1.3のみを有効にして実験した接続できました。
軽くabでテスト。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 |
% ab -n 5 -n 100 https://triathlon.teraren.com/ 305ms Wed Nov 8 18:37:41 2017 This is ApacheBench, Version 2.3 <$Revision: 1757674 $> Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/ Licensed to The Apache Software Foundation, http://www.apache.org/ Benchmarking triathlon.teraren.com (be patient).....done Server Software: nginx/1.13.6 Server Hostname: triathlon.teraren.com Server Port: 443 SSL/TLS Protocol: TLSv1.2,ECDHE-RSA-AES256-GCM-SHA384,2048,256 TLS Server Name: triathlon.teraren.com Document Path: / Document Length: 82716 bytes Concurrency Level: 1 Time taken for tests: 9.850 seconds Complete requests: 100 Failed requests: 0 Total transferred: 8305900 bytes HTML transferred: 8271600 bytes Requests per second: 10.15 [#/sec] (mean) Time per request: 98.501 [ms] (mean) Time per request: 98.501 [ms] (mean, across all concurrent requests) Transfer rate: 823.47 [Kbytes/sec] received Connection Times (ms) min mean[+/-sd] median max Connect: 25 34 16.1 32 189 Processing: 53 65 32.5 60 375 Waiting: 30 40 31.2 36 341 Total: 79 98 36.9 91 412 Percentage of the requests served within a certain time (ms) 50% 91 66% 94 75% 96 80% 97 90% 101 95% 134 98% 251 99% 412 100% 412 (longest request) |
TLS1.3が出てない。クライアント側のopensslが古いからかな。。
|
1 2 3 |
% openssl version Wed Nov 8 18:40:27 2017 OpenSSL 0.9.8zh 14 Jan 2016 |
まとめ
- nginxをアップグレード。 1.12 -> 1.13
- TLS 1.0, TLS 1.1を無効化。TLS 1.2とTLS 1.3 draftを有効化
