本文へスキップ
重要 SSL/TLS証明書 47日間ルール正式決定 — ACME自動更新の導入を推奨しております。 Phase 2(100日へ短縮)まで 306日
FujiSSL公式 よくある質問 サポート
300,000枚 累計発行
17,206社 利用中
19年 運営
24時間365日 自動発行
🛡️ セキュリティ・運用ベストプラクティス

2026年版 SSL/TLS 推奨設定

2026年時点で推奨される TLS バージョン、暗号スイート、HSTS、Certificate Transparency など、
SSL Labs A+ 評価を目指せる設定を完全網羅。

📊 推奨設定サマリー

項目2026年推奨非推奨
SSL/TLS バージョンTLS 1.2 / TLS 1.3SSL 2.0 / 3.0 / TLS 1.0 / 1.1
鍵交換ECDHE / DHE(前方秘匿性あり)RSA 鍵交換
暗号化AES-GCM / ChaCha20-Poly1305RC4 / 3DES / DES / NULL
ハッシュSHA-256 / SHA-384MD5 / SHA-1
鍵長RSA 2048bit+ / ECC P-256+RSA 1024bit 以下
HSTS有効(max-age 31536000+)未設定
OCSP Stapling有効未設定
HTTP/2 or HTTP/3有効HTTP/1.1 のみ

🔐 TLS バージョン設定

Apache

SSLProtocol -all +TLSv1.2 +TLSv1.3

Nginx

ssl_protocols TLSv1.2 TLSv1.3;

🔑 推奨暗号スイート(2026年版)

Mozilla SSL Configuration Generator の Intermediate 設定相当:

Nginx
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
💡 TLS 1.3 の暗号スイートは設定不要 TLS 1.3 では暗号スイートが OS / OpenSSL レベルで自動選択され、サーバ側で個別指定する必要はありません。

🔒 HSTS(HTTP Strict Transport Security)

# 基本設定(推奨)
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

# HSTS Preload 対応(最高セキュリティ)
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

hstspreload.org で Preload リストに登録申請できます。

⚠️ Preload は取り消しが困難 HSTS Preload に登録すると、リストから削除されるまでに数ヶ月〜1年かかります。

📋 OCSP Stapling

Nginx
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 1.1.1.1 valid=300s;

🌐 Certificate Transparency(CT)

当店のすべての証明書は CT ログに自動的に登録されます。

  • crt.sh ── 自社ドメイン宛に発行された証明書を一覧で確認

🔐 セキュリティヘッダー

add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;

📊 SSL Labs A+ 評価を目指す

  1. ✅ TLS 1.2 / 1.3 のみ有効
  2. ✅ Forward Secrecy を確保(ECDHE / DHE のみ)
  3. ✅ 強力な暗号スイートのみ
  4. ✅ HSTS の有効化
  5. ✅ OCSP Stapling 有効
  6. ✅ DNS CAA レコードの設定
  7. ✅ 証明書チェーンが完全

SSL Labs SSL Test でスコアを確認できます。

🌐 DNS CAA レコード

example.com.    IN  CAA  0 issue "fujissl.jp"
example.com.    IN  CAA  0 issue "sectigo.com"
example.com.    IN  CAA  0 iodef "mailto:admin@example.com"

🔐 秘密鍵の管理

  • ✅ パーミッションは 600
  • ✅ Git 等のバージョン管理に絶対にコミットしない
  • ✅ メール添付・チャット送付は厳禁
  • ✅ 漏洩時は速やかに証明書を失効・再発行
← 前へ
トラブルシューティング
次へ →
SSL/TLS の基礎知識