3desなどの古い暗号化を無効にしてウェブサーバーを運用することはできますか【Plesk12以降】

ApacheについてはLinux ディストリビューションのバージョンが2.2.23以降がないため、「nginxでのウェブサーバ運用」が前提となります。なんらかの理由で、Apacheでの運用に切り替えていらっしゃる場合は、コンテンツがnginxでも問題なく動く状態になるよう、あらかじめご確認ください。

以下はコマンド操作内容となりますので作業内容をご確認の上、作業を行っていただきますようお願いいたします。

メーカーでは以下のナレッジが公開されています。
[HOWTO] PCI-DSS コンプライアンスのために脆弱な SSL 暗号を無効化するには

Plesk12以降搭載の操作例

Plesk12以降/CentOS 6搭載VPSサーバーについては以下の手順を確認しています。

1)OpenSSL確認

# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
(バージョンが1.0 以降であることを確認。)

2)’ nginx ‘ ウェブサーバのサポートを有効化

# /usr/local/psa/admin/bin/nginxmng --enable

3)ディレクトリを移動し、’ nginx ‘ のカスタムドメインテンプレートを作成します

3-1)カスタムテンプレート用のディレクトリを作成し元ファイルをコピー

# cd /usr/local/psa/admin/conf/templates/
# mkdir -p ./custom/domain/
# cp ./default/domain/nginxDomainVirtualHost.php ./custom/domain

※オリジナルのものは「./default/domain/nginxDomainVirtualHost.php」ですが、
カスタマイズ用に「./custom/domain/nginxDomainVirtualHost.php」をコピーし編集します

3-2)「./custom/domain/nginxDomainVirtualHost.php」を編集
変更前と変更後の部分を記載します。
※ナレッジサイトでは「ssl_protocols ‘ および ‘ ssl_ciphers ‘ ディレクティブのある行を探して、
それらの行を以下のように置き換えます。」と記載されております。
当社の検証ではそのような行がありませんでしたので変更前、変更後をピックアップします。

変更前

    <?php if ($sslCertificate->ce): ?>
    ssl_certificate             <?php echo $sslCertificate->ceFilePath ?>;
    ssl_certificate_key         <?php echo $sslCertificate->ceFilePath ?>;
        <?php if ($sslCertificate->ca): ?>
    ssl_client_certificate      <?php echo $sslCertificate->caFilePath ?>;
        <?php endif ?>
    <?php endif ?>

変更後(追記後の例)

    <?php if ($sslCertificate->ce): ?>
    ssl_certificate             <?php echo $sslCertificate->ceFilePath ?>;
    ssl_certificate_key         <?php echo $sslCertificate->ceFilePath ?>;
        <?php if ($sslCertificate->ca): ?>
    ssl_client_certificate      <?php echo $sslCertificate->caFilePath ?>;
        <?php endif ?>
    ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers                 ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS;
    ssl_prefer_server_ciphers   on;
    <?php endif ?>

「ssl_prefer_server_ciphers on;」についてはナレッジには書かれていませんが
”クライアント側ではなくサーバ側の暗号化スイートが優先されるようになる”
という設定内容です。任意の項目ですので、設定例として紹介しました。
不要でしたら削除いただいても問題ありません。

4)ウェブサービスを再構成

# /usr/local/psa/admin/bin/httpdmng --reconfigure-all

関連FAQ

ウェブサーバのPOODLE対策の有無を確認したいのですが【共用、Plesk8 Plesk11 Plesk12以降】