OpenLiteSpeedでは鍵交換方式にDHEは使えない。

こんにちは！Azusaです。

ありがたい事に当サイトにもコンスタントにアクセスを頂いておりまして、セキュリティもキチンとしていかないとなと考え、Qualys SSL LabsのSSL Testのスコアを上げてみようとテストしたところ、見た感じでCipher Suitesの数が少ないことに疑問を持ちました。

TLS1.3は仕様で数が少ないのは調べてわかっていましたが、TLS1.2の数が少なすぎる。

IPAのガイドラインを参考に設定したのですが、リンク先の参考PDFファイルの設定値を設定しても明らかに少なかったので調べてみると、鍵交換方式にDHEを使っているものが丸っと無いことに気づきました。

先程のSSL Labsの結果をよく見ると、下の方の欄にDHE suites not supportedの文字が。

脆弱性とかで無効化されてるのかと調べていたのですが、OpenSSLでは普通に使えるようでしたし、しばらく情報収集したところ、LiteSpeedの公式にこんなページが。

上記ページの少しスクロールしたところのWarningセクションに書いてあります。

簡単に訳すと”LiteSpeedはBoringSSLを使用していて、BoringSSLからDHEが削除されたため使えないよ”と。

DHE以外の使えないCipher Suiteについても書いてあるので、必要な方はアクセスして確認してみてください。

SSL LabsでWeakと表示が出たものも使えなくしたら画像のように少数のCipher Suiteしか残らなかったというわけです。

私はWeak表示が気になるのでこの設定のまま運用していますが、当サイトくらいの一方的に記事を発信するタイプのサイトであれば、もうちょっと緩くしてもいいのかなとか考えたりしています。

なお、この設定ではテストしてくれた結果では、Windowsu 8.1以前(IE)・Mac OS X 10.10以前(Safari)・iOS 8以前(Safari)での表示が出来ないようです。

スマホに関しては、スペック的にそんなに昔のものを使っている人もいないでしょうから問題ないでしょうし、PCについてもIEやSafariをそのまま使ってる人も少ないだろうと判断してこの設定にしました。

というわけで、今回はOpenLiteSpeedにおけるCipher Suiteについて調べた結果を書きました。

同じような疑問を持つ方の参考になれば嬉しいです♪

ではまた～！