ApacheでのSSL設定に関して
お世話になります。
Ubuntu 18.04、Apache 2.4.29、OpenSSL 1.1.1bの環境でSSLの設定を行おうとしています。
なお証明書はcertbotでワイルドカード証明書を取得しています。
普通にSSLの設定はできたのですが、わけあって、古い端末(WindowsXP+IE8等)に対応する必要があり、下記サイトを参考に設定ファイルのサンプルを作成しました。
https://mozilla.github.io/server-side-tls/ssl-config-generator/
で、当方はUbuntuを利用しているため、「/etc/apache2/mods-available/ssl.conf」を下記のように指定しました。
<IfModule mod_ssl.c>
SSLRandomSeed startup builtin
SSLRandomSeed startup file:/dev/urandom 512
SSLRandomSeed connect builtin
SSLRandomSeed connect file:/dev/urandom 512
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog exec:/usr/share/apache2/ask-for-passphrase
SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:HIGH:SEED:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!RSAPSK:!aDH:!aECDH:!EDH-DSS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!SRP
SSLHonorCipherOrder on
SSLProtocol all
SSLCompression off
SSLSessionTickets off
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
</IfModule>
また、バーチャルホストには、下記のように記述しています。
(非SSLサイトのバーチャルホストの設定は省略)
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerName test.example.com:443
AddDefaultCharset UTF-8
DocumentRoot /home/[ユーザー名]/public_html/test.example.com
ErrorLog /home/[ユーザー名]/log/test.example.com/error.log
CustomLog /home/[ユーザー名]/log/test.example.com/access.log combined
<IfModule mod_userdir.c>
UserDir public_html
UserDir disabled root
<Directory /home/*/public_html>
AllowOverride All
Options All
Options -Indexes
Order allow,deny
Allow from all
</Directory>
</IfModule>
<IfModule mod_mime.c>
AddHandler cgi-script .cgi
</IfModule>
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem
</VirtualHost>
</IfModule>
この状態で
a2ensite test.example.conf
a2enmod ssl
を実行して、サーバーを再起動しました。
その後、
https://www.ssllabs.com/ssltest/index.html
で該当のドメインを入力して、SSLのテストをしましたが、下記のメッセージが出ているため、WindowsXP+IE8等では接続できないものと思われます。
IE 8 / XP No FS 1 No SNI 2
Server sent fatal alert: handshake_failure
なにかほかに設定が必要でしょうか。
アドバイスをいただけると幸いです。
よろしくお願いいたします。