KUSANAGIで古いAndroidでもSSL通るようにしてみた。

Pocket

えっと、古いAndroidでメール使えなかったので、あえてDovecotの10-ssl.confの設定を変えてみた。

# SSL protocols to use
ssl_protocols = !TLSv1 !SSLv2 !SSLv3

# SSL ciphers to use
ssl_cipher_list = ALL:HIGH:!SSLv2:!MEDIUM:!LOW:!EXP:!RC4:!MD5:!aNULL:@STRENGTH

あと、/etc/nginx/conf.d/[プロファイル名]_ssl.confもいじる

server {
    listen       443 ssl http2;
    server_name  [ドメイン名];
    ssl on;
    ssl_certificate      /etc/pki/CA/certs/[ドメイン名].crt;
    ssl_certificate_key  /etc/pki/CA/private/[ドメイン名].noenc.key;
    ssl_dhparam /etc/kusanagi.d/ssl/dhparam.key;

    ssl_session_tickets off;
    ssl_session_ticket_key     /etc/kusanagi.d/ssl_sess_ticket.key;

    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout  1d;

    #ssl_ct on;
    #ssl_ct_static_scts /etc/nginx/scts;

    ssl_protocols TLSv1.2;

    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:!DSS';
    ssl_prefer_server_ciphers on;

    ## OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    #resolver 8.8.4.4 8.8.8.8 valid=300s;
    #resolver_timeout 10s;

これでいいのかな?

nginxに関しては以下を参照のこと

とりあえずK-9 MailでSSL/TLSで繋がるようにはなりました。Firefoxでも読めることを確認。

っと思ったら、こんなお知らせが…

2 Replies to “KUSANAGIで古いAndroidでもSSL通るようにしてみた。”

Leave a Reply

Your email address will not be published. Required fields are marked *