楕円曲線暗号の証明書は面倒くさいから導入しないと言ったな。あれは嘘だ。

というわけで、ECDSAの証明書に切り替えました。
暗号スイートはこんな感じの設定です。

ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers         ECDSA+AES:+AES256:+SSLv3;

ECDSAで使える暗号スイートは非常に少ないので、以下の方針としました。

• 暗号化はAESのみ
• 鍵長は128bitを優先
• AESGCMを優先
• SHA1は優先度を下げる

openssl ciphers -v 'ECDSA+AES:+AES256:+SSLv3'
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1

あとは、証明書の自動更新がちゃんと動くかだ・・・