## この記事でわかること

- SSL Labs の A〜F グレード基準
- A+ 取得に必要な 5 つのチェックポイント
- Nginx / Apache での具体的な設定例
- 「A+ を取りに行く意味」がある場合とない場合

## SSL Labs とは

[SSL Labs](https://www.ssllabs.com/ssltest/)（Qualys 運営）は SSL/TLS の設定品質を A+〜F でグレード化する世界的に標準的な評価ツール。海外の取引先からセキュリティ監査で「**SSL Labs A 以上を維持してください**」と要求されることが増えています。

## グレード基準（簡易版）

| グレード | 条件 |
|---|---|
| A+ | A 条件 + HSTS + 追加加点項目 |
| A | TLS 1.2 以上 / 強い暗号スイート / 証明書チェーン正常 |
| B | TLS 1.2 はあるが古い暗号スイートも有効 |
| C | TLS 1.0 / 1.1 が有効、または弱い暗号スイート |
| F | 既知の脆弱性（POODLE / Heartbleed 等） |

## A+ 取得 5 つのチェックポイント

![A+ 取得の 5 つのポイント](/blog/ssl-labs-a-plus-shutoku/five-points.svg)

### 1. TLS 1.2 / 1.3 のみ有効化（TLS 1.0 / 1.1 を無効）

**Nginx**:
```nginx
ssl_protocols TLSv1.2 TLSv1.3;
```

**Apache**:
```apache
SSLProtocol -all +TLSv1.2 +TLSv1.3
```

TLS 1.2 を強制する際の考え方と、古い端末への影響をどう確認するかは [TLS 1.2 強制設定の考え方と影響確認](/blog/ssl-tls-1-2-only-config) で整理しています。

### 2. 強い暗号スイートのみ許可

**Nginx**:
```nginx
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
```

最新の Mozilla SSL Configuration Generator（ssl-config.mozilla.org）の **"Modern" or "Intermediate"** プロファイルをコピペが安全。

### 3. 中間証明書の正しい配置

中間証明書がチェーンに含まれていないと **B 以下**になります。詳しくは [中間証明書省略の罠](/blog/chukan-shomeisho-no-wana) を参照。

### 4. HSTS 有効化（A+ 必須）

```nginx
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
```

**重要**: HSTS は段階導入。いきなり 2 年 + includeSubDomains + preload は危険。詳しくは [HSTS の設定方法](/blog/hsts-settei-houhou) を参照。

短期 max-age（例 1 日）から始めて、動作確認後に拡大。preload 申請は最後。

### 5. OCSP Stapling 有効化

詳しくは [OCSP Stapling とは](/blog/ocsp-stapling-toha) を参照。Nginx:
```nginx
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/chain.crt;
```

## A+ 取得後の確認

[SSL Labs のテストページ](https://www.ssllabs.com/ssltest/) に対象ドメインを入力。

- グレード A+ が出たら成功
- A の場合、レポート下部の「Handshake Simulation」「Cipher Suites」で減点要因を特定

## A+ を取りに行く意味があるケース / ないケース

![A+ を取りに行く意味](/blog/ssl-labs-a-plus-shutoku/when-needed.svg)

### 取りに行くべき
- 海外取引先のセキュリティ監査で要求されている
- 政府系 / 金融系の納品案件
- セキュリティ意識の高い顧客向けのブランド訴求

### 取らなくてもよい
- 国内Web 担当者向け一般 BtoB サイト
- A グレードで十分機能上問題ない
- HSTS preload を申請すると後で外せないので慎重判断したい

ドメイン番人の見解として、**A 以上を維持していれば実害はない**ので A+ は「監査要求があれば取る」程度の位置付けがおすすめです。

## まずは現状を把握しましょう

ドメイン番人の [SSL 単発チェック](/ssl/check) で SSL 証明書の状態を 30 秒で確認できます。SSL Labs と独立した観点（HTTP/2-3 対応 / CT log / HSTS preload 適格性）も含めて点検。

A+ 取得 / HSTS 段階導入 / 暗号スイート見直しの設定支援は [SSL 棚卸し＋自動更新セットアップ](/contact)（5 万円〜）でご相談ください。

関連記事: [中間証明書省略の罠](/blog/chukan-shomeisho-no-wana) / [OCSP Stapling とは](/blog/ocsp-stapling-toha) / [HSTS の設定方法](/blog/hsts-settei-houhou) / [CertSpotter の使い方](/blog/certspotter-tsukaikata) / [CT log 監視ツール 5 選比較](/blog/ct-log-monitoring-tools-guide)

メール認証や Web セキュリティヘッダの単発チェックも合わせて [無料ツール一覧](/tools) にまとめています。