wolfSSLはサードパーティインテグレーションに力を入れおり、Nginxのサポートも改善してきました。今回Nginx 1.13.8、1.12.2およびその他のリリース用のパッチをテストしました。
NginxはデフォルトでOpenSSLライブラリとリンクしてビルドされるため、FIPS 140-2準拠が難しくなっています。 wolfSSLを使ってNginxをコンパイルするのはシンプルで、お客様のプラットフォームでのFIPS 140-2の検証プロセスもwolfSSLがお手伝いできます。
FIPS用にNginxのコードを変更する必要はありませんが、設定が適切に設定されていることを確認してください。これには下記が含まれます。
- 2048ビット以上のキーを持つRSA
- P-256またはP-384のECC
- 無期鍵ではなく一時鍵による楕円曲線Diffie-Hellman鍵共有
- CBCモードではなくGCMモードでのAES-128またはAES-256暗号
- SHA-256またはSHA-384を使用したハッシュ関数およびメッセージ認証コード
推奨される暗号スイートは次のとおりです。
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- DHE-RSA-AES128-GCM-SHA256
NginxはTLS 1.3をサポートしました。そして、wolfSSLでも利用できます。SP 800-52の新しいドラフト版では、政府向けアプリケーションのTLS v1.2の使用は必須であり、またTLS v1.3を使えるよう設定されている必要があります。 wolfSSLはTLS v1.3ドラフトを実装しており、相互運用性テストを行っています。 TLS v1.3仕様の最終リリースのサポートは、順調に準備が進行しています。
さらに詳しい情報は弊社問い合わせ窓口info@wolfssl.jpまでお問い合わせください。
原文: https://www.wolfssl.com/nginx-with-wolfssl/
wolfSSLホーム:www.wolfssl.jp (English:www.wolfssl.com)