オウルです。
Web のデベロッパーをしていると切っても切れないセキュリティ。Kubernetes の入門書として購入した『入門 Kubernetes』には、
セキュリティを考える時には、近道は存在しません。
とあります。そんなセキュリティを考えるときに、個人的にお世話になっているリファレンスドキュメントとツールをまとめました。
ドキュメント
SSL/TLS プロトコルと暗号スイートの設定
Mozilla の運用チームがTLSを構成するのを支援することを目的としてドキュメント
RFC
IPA/ISEC(独立行政法人 情報処理推進機構 セキュリティセンター)が、インターネットセキュリティに関する重要な RFC(Request for Comments)を日本語に翻訳(原文あり)。
IPA SSL/TLS暗号設定ガイドライン
ツール
moz://a SSL Configuration Generator
Mozilla が提供する SSL/TLS Configuration Generator。Server、OpenSSL のバージョンを指定して、Nginx、Apacheをはじめてとする Server Software の設定ファイルを生成してくれる。
OpenSSL
自己証明書の作成
下記の ”Generate a self signed root certificate:” を参照。
cipher strings
Nginx などの暗号スイートを設定するときの文字列の説明。
curl
SSL/TLS の接続テストなどに使用。
脆弱性診断は、有償サービスの利用経験はありますが、フリーはありません。今後、使用した場合は掲載していく予定です。