ドメイン番人
SSLSSL LabsセキュリティWeb 担当者

SSL Labs で A+ を取得する完全ガイド|Web 担当者向け 5 つのチェックポイント

ドメイン番人4 分で読めます
目次

この記事でわかること

  • SSL Labs の A〜F グレード基準
  • A+ 取得に必要な 5 つのチェックポイント
  • Nginx / Apache での具体的な設定例
  • 「A+ を取りに行く意味」がある場合とない場合

SSL Labs とは

SSL Labs(Qualys 運営)は SSL/TLS の設定品質を A+〜F でグレード化する世界的に標準的な評価ツール。海外の取引先からセキュリティ監査で「SSL Labs A 以上を維持してください」と要求されることが増えています。

グレード基準(簡易版)

グレード 条件
A+ A 条件 + HSTS + 追加加点項目
A TLS 1.2 以上 / 強い暗号スイート / 証明書チェーン正常
B TLS 1.2 はあるが古い暗号スイートも有効
C TLS 1.0 / 1.1 が有効、または弱い暗号スイート
F 既知の脆弱性(POODLE / Heartbleed 等)

A+ 取得 5 つのチェックポイント

A+ 取得の 5 つのポイント

1. TLS 1.2 / 1.3 のみ有効化(TLS 1.0 / 1.1 を無効)

Nginx:

ssl_protocols TLSv1.2 TLSv1.3;

Apache:

SSLProtocol -all +TLSv1.2 +TLSv1.3

TLS 1.2 を強制する際の考え方と、古い端末への影響をどう確認するかは TLS 1.2 強制設定の考え方と影響確認 で整理しています。

2. 強い暗号スイートのみ許可

Nginx:

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

最新の Mozilla SSL Configuration Generator(ssl-config.mozilla.org)の "Modern" or "Intermediate" プロファイルをコピペが安全。

3. 中間証明書の正しい配置

中間証明書がチェーンに含まれていないと B 以下になります。詳しくは 中間証明書省略の罠 を参照。

4. HSTS 有効化(A+ 必須)

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

重要: HSTS は段階導入。いきなり 2 年 + includeSubDomains + preload は危険。詳しくは HSTS の設定方法 を参照。

短期 max-age(例 1 日)から始めて、動作確認後に拡大。preload 申請は最後。

5. OCSP Stapling 有効化

詳しくは OCSP Stapling とは を参照。Nginx:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/chain.crt;

A+ 取得後の確認

SSL Labs のテストページ に対象ドメインを入力。

  • グレード A+ が出たら成功
  • A の場合、レポート下部の「Handshake Simulation」「Cipher Suites」で減点要因を特定

A+ を取りに行く意味があるケース / ないケース

A+ を取りに行く意味

取りに行くべき

  • 海外取引先のセキュリティ監査で要求されている
  • 政府系 / 金融系の納品案件
  • セキュリティ意識の高い顧客向けのブランド訴求

取らなくてもよい

  • 国内Web 担当者向け一般 BtoB サイト
  • A グレードで十分機能上問題ない
  • HSTS preload を申請すると後で外せないので慎重判断したい

ドメイン番人の見解として、A 以上を維持していれば実害はないので A+ は「監査要求があれば取る」程度の位置付けがおすすめです。

まずは現状を把握しましょう

ドメイン番人の SSL 単発チェック で SSL 証明書の状態を 30 秒で確認できます。SSL Labs と独立した観点(HTTP/2-3 対応 / CT log / HSTS preload 適格性)も含めて点検。

A+ 取得 / HSTS 段階導入 / 暗号スイート見直しの設定支援は SSL 棚卸し+自動更新セットアップ(5 万円〜)でご相談ください。

関連記事: 中間証明書省略の罠 / OCSP Stapling とは / HSTS の設定方法 / CertSpotter の使い方 / CT log 監視ツール 5 選比較

メール認証や Web セキュリティヘッダの単発チェックも合わせて 無料ツール一覧 にまとめています。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから