警告とエラーを停止するためのサーバーSSL構成
Whm/cpanelセットアップでメインドメインにSSLをセットアップしました。ドメインには独自のIPがあり、すべて正常に稼働しています。
ただし、Chromeでサイトを閲覧すると、次のようになります。
Example.comへの接続は、256ビット暗号化で暗号化されています。ただし、このページには、安全ではない他のリソースが含まれています。これらのリソースは、転送中に他のユーザーが表示したり、攻撃者が変更してページの動作を変更したりする可能性があります。
接続はSSL3.0を使用します。
接続はAES_256_CBCを使用して暗号化され、メッセージ認証用のSHA1とキー交換メカニズムとしてのDHE_RSAが使用されます。
接続は圧縮されていません。
SSL3.0を使用して接続を再試行する必要がありました。これは通常、サーバーが非常に古いソフトウェアを使用しており、他のセキュリティ問題がある可能性があることを意味します。
WHM>サーバー構成> Apache構成>グローバル構成を確認しました
推奨されるように、SSL暗号スイートは次のように設定されます。
ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH PCI recommended
次のSSLレポートもあります: http://www.networking4all.com/en/support/tools/site+check/report/?fqdn=https%3A%2F%2Fmostplays.com%2F&protocol=https
また、タイトルだけの空白のhtmlファイルを表示すると、外部ソースからのインクルードからではないため、このエラーが発生します。
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Test Secure</title>
</head>
<body>
<h1>Test Secure</h1>
</body>
</html>
サーバーソフトウェアを確認しましたが、openSSL 0.9.8eを使用していますが、これが要因である可能性がありますか?
私が間違っているのは何ですか?問題の診断に役立つ設定は他にありますか?
次のhttpd.confすべてのエラーを停止しました:
SSLProtocol -SSLv2 +SSLv3 +TLSv1
SSLCipherSuite !NULL:!ADH:!EXP:!LOW:SSLv3:+HIGH:+MEDIUM
ただし、このページには、安全ではない他のリソースが含まれています。これらのリソースは、転送中に他のユーザーが表示したり、攻撃者が変更してページの動作を変更したりする可能性があります。
Chrome(表示->開発者))で開発者ツールパネルを開き、[ネットワーク]タブに移動します。ロードされているものがすべて一覧表示されます。さらに、下部にある警告/エラーアイコンをクリックします。次のようなメッセージを含むエラーのリストが開きます。
- ...のページには、http:// ...からの安全でないコンテンツが表示されていました。
- 安全でないJavaScriptがURLのフレームにアクセスしようとしています https://.../ URLのフレームからhttp:// ....ドメイン、プロトコル、ポートが一致している必要があります
ほとんどの場合、それは広告から埋め込まれたフレームとコンテンツから来ます。 [ネットワーク]タブのリストで「問題のある」リソースを見つけたら、[イニシエーター]列にそれらをロードしているものに関する手がかりが表示されます。
SSL3.0を使用して接続を再試行する必要がありました。これは通常、サーバーが非常に古いソフトウェアを使用しており、他のセキュリティ問題がある可能性があることを意味します。
(SSLCipherSuiteディレクティブに加えて)これがあることを確認してください:
SSLProtocol all -SSLv2
この警告を回避するには、含まれるすべての要素(画像、ファイルなど)でHTTPS接続を使用する必要があります。ページのソースを表示してhttp://を探します-他のページへのリンクは問題ありません(<a href="...)ただし、ファイルには適用されません(<img src="...など)