[解決済み]TLS1.2のみにしようとしたら反映されず苦戦した(証明書がLet’s Encryptの場合)

結論

サーバ証明書にLet’s Encryptを使っているので設定を書くファイルがssl.confではなかった。

結論にいたるまで

ssl.confにSSLProtocol -ALL +TLSv1.2って書いても反映されないから色々なところに書いてみたけど反映されず・・・。

わからなくなってきたのでふて寝でもしようかと思いながら.confのファイルを色々見ていると「そういえば証明書のファイルの指定ってどこに書かれているんだ?」と疑問に思えたのがよかった。

Let’s Encryptの場合、/etc/httpd/conf.d/www-le-ssl.confに443ポートのことが色々と書かれているので、そちらにSSLProtocolの設定を書いたら反映された。あきらめてふて寝しなくてよかった。

あきらめたらそこで試合終了ですよ

やっぱ安西先生すごい

チェックコマンド

openssl s_client -connect yourdomain.example.com:443 -tls1_1

最後のバージョン指定のところ(-tls1_1)は必要なものに変えてください。

SSLのバージョンや暗号スイートのチェックサイト

以下の2つが有名どころかと。

SSLチェック【証明書・プロトコル・暗号スイート確認】
サーバー管理者用の支援ページです。管理中サーバーに対して「SSLが正常に動作をしているか」「脆弱性に対応できているか」「有効期限は大丈夫か」などを確認できます。
SSL Server Test (Powered by Qualys SSL Labs)
A comprehensive free SSL test for your public web servers.

コメント