2026年版・もう古いTLS設定の見直しと推奨設定（nginx/Apache対応・コピペOK）

概要

「HTTPSにはしたけれど、TLSの設定は構築時のまま」というサイト向けに、2026年時点で「もう古い」TLS設定を洗い出し、nginx/Apacheでコピペできる形で安全な状態へ直す手順をまとめた記事。難しい暗号理論を省き、何を消し・何を残し・どう確認するかに絞った実用的な内容。

まず現状確認：nmap --script ssl-enum-ciphers -p 443 と openssl s_client -tls1 で対応プロトコル・暗号一覧を確認
TLS 1.0・1.1はRFC 8996（2021年）で正式非推奨化済み——残すメリットなし、ダウングレード攻撃の温床
方針：プロトコルはTLS 1.2とTLS 1.3のみ、暗号は前方秘匿性（ECDHE）＋認証付き暗号（AES-GCM/ChaCha20-Poly1305）に限定（Mozilla SSL Configuration Intermediate相当）
nginx/Apache両対応のコピペ設定例と、設定後の確認方法を掲載
設定変更後はssl-labsなどで再スキャンして確認することを推奨