WoSignで無料のSSL証明書を発行してnginxで使う

たまにはブログを更新しようということで小ネタ

WoSign っていうところで無料で証明書が発行できるららしいというのを聞いたのでこのブログをHTTPSでもアクセスできるようにしたメモ。

証明書の発行は、RapidSSLなりの人手を介さない系の発行手順と一緒で、ドメインの所有権がadmin@mat2uken.netとかwebmaster@mat2uken.netとかにメールが送られてそれを受信できさえすれば発行してくれる形式。実在証明がどうとか、EV SSLがーみたいな系の話では一切役に立たないものの、最低限暗号化できるとかそのへんに魅力あると思える場合には普通に有用かなと。

実際の発行手続きは、https://buy.wosign.com/free/ ここにいって各種情報をいれるだけ。AlgorithmはSHA2にしないと使いものにならないのでそこだけ注意。あとは普通にCSRつくってコピペすれば受け付けてくれます。その後、数分でここからダウンロードできるよっていうリンクがメールで送られてくるのでそれをダウンロードします。

ダウンロードした証明書はnginx用とかApache用みたいな形でディレクトリが別れていて、すでに中間証明書も連結された状態で提供されます。というわけで、証明書はホントに無料でゲットできました。100までは無料っぽいので、他のサブドメインもさくっと取っておくといいのかも。

nginxの設定

nginxの設定にSSLを有効にする部分を加えます、一応SPDYも有効に

listen 443 ssl spdy;
listen [::]:443 ssl spdy;
server_name misc.mat2uken.net;

ssl on;
ssl_certificate /etc/nginx/xxx.crt;
ssl_certificate_key /etc/nginx/xxx.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_session_cache shared:SSL:10m;

個人のブログだし、アクセスできる互換性よりもちょっとだけセキュア寄りで設定ということで、Cipherとかは調整したつもりです。SSLv3も無効で。 QUALYS SSL LABSのSSL Server Testで最低限Aになるくらいで

qualys_ssl_test_thumb

結果はこんな感じで、v4/v6ともAにはなりました

実際アクセスして証明書を確認してみると下記のようになります。

qualys_ssl_test_thumb

StartComをCAにしてWoSignの証明書になってます。とりあえずOSX,iOSのChrome,Safariでは問題なくアクセスできるようです。

割と良さげ?