observatory.mozilla.orgを使ってWebサイトを分析してみたところ、Scan Summaryの評価がFしかなかったので、サイト内の解説に基づいてWebサーバーの設定を少し改良してみました。

具体的には以下のように設定しました：

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Content-Security-Policy "*"
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"

その結果、評価はA-まで向上しました。

Content-Security-Policyに外部呼び出しのドメインをすべて追加すれば、おそらくA評価が取れるはずですが、テストするのがかなり面倒なので、とりあえずこのまま運用しています。

TLS ObservatoryのScan Summary結果も同様にFだったため、Mozilla SSL Configuration Generatorを利用していくつかのパラメータを追加してみました：

SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-CM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
#SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
#SSLHonorCipherOrder     on
#SSLCompression          off
#SSLSessionTickets       off

ところが、状況は改善しませんでした。原因は不明です。

時間ができたらまた詳しく調べてみる必要があります。