web-dev-qa-db-ja.com

AWS CloudFrontとOriginサーバー間でHTTPSを要求する利点は何ですか?

Amazon CloudFrontでウェブサイトをホストしていますが、最近CloudFrontとビューアーの間でHTTPSを要求するようにディストリビューションを更新しました。 AWS Certificate Managerの導入とSNIの実行可能性により、この移行は簡単で安価です。これをHTTPSに移行することの利点は多数あります。

CloudFrontと私のOriginサーバー(カスタムOrigin)の間にHTTPSを要求する利点について疑問に思っています。 CFがすべてのOriginオブジェクトをHTTPS経由で要求することを意味することは知っていますが、これがもたらすメリット(セキュリティなど)を見つけるのに苦労しています。オリジンへのリクエストがHTTPS経由で行われないために悪用される可能性のある実用的な攻撃ベクトルはありますか?

OriginサーバーでHTTPSを設定して維持するための管理オーバーヘッドがありますので、知りたいのですが、利点はそのオーバーヘッドに価値があるのでしょうか?

参照: http://docs.aws.Amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html

5
Eric W

攻撃者がオリジンサーバーとCloudFront Edgeロケーションの間に身を置くことができる場合、攻撃者がHTTPトラフィックをキャプチャして情報を抽出することはそれほど難しくありません。理論的には、ISP側で行うことができます。 「中間者」攻撃と呼ばれます: https://en.wikipedia.org/wiki/Man-in-the-middle_attack

ISPまたはホスティングプロバイダーを100%信頼している場合、HTTPSは必要ありません。また、公開コンテンツを暗号化する必要はありません。とにかく、究極のベストプラクティスは常にHTTPSを使用することです。

3
Vladimir Mukhin

それはあなたのサイトに依存します。

高度なセキュリティを含む特別なサイトを運営しており、特定のブラウザを使用して複数の国に所在する個人のみを選択してサイトにアクセスし、サイトのコンテンツの大部分にアクセスするにはログイン(またはユーザー固有の何か)が必要な場合、それから私はHTTPSに行くと言うでしょう。

世界中の人が見ることを気にしない情報を表示する一般的なサイトがある場合、htmlページのHTTPは問題ないはずです。ハッカーはHTTPSを使用するよりもHTTPを使用してコンテンツをダウンロードできますが、HTTPを使用しますが、これはより高速なプロトコルであり、ページをインデックスに登録するには(特にgoogleで)サイトを高速で実行する必要があります。

誰かが彼らの答えで述べた中間者攻撃については、世界中の視聴者を対象とするウェブサイトにとっては重要ではありません。 HTTPに固執し、CDNにサイトをダウンロードさせます。ハッカーが栄光のランダムな秒を行う間、あちこちに遅延があるかもしれません。それによって、私は彼らが一瞬を取り、一瞬で10 MB以上の帯域幅を消費する場所を意味します。これは、サーバーの帯域幅グラフを確認することでわかります。

現在、セキュリティの高いサイトを作成している場合、HTTPSが役立つ場合がありますが、さらに重要なことは、サイトを処理するスクリプトが100%安全でバグのないことを確認する必要があります。

0
Mike