web-dev-qa-db-ja.com

CloudFrontでのTLS 1.0サポートは、オリジン側でTLS 1.2のみが有効になっている場合に脆弱性を作成しますか?

現在、AWSでCloudFrontを使用してウェブサイトをホストしています。

CloudFrontは現在、ビューア側でのTLS 1.0または1.1の無効化をサポートしていません。 Origin側でのTLS 1.2へのアクセス制限のサポートのみを提供します。

また、CloudFrontディストリビューションで構成されたELB上のTLS 1.2のみへのアクセスを制限しています。

Viewer -> (HTTPS/TLS1.0/1.1/1.2) -> Cloudfront -> (HTTPS/TLS1.2) -> Origin

これによりTLS 1.0のセキュリティの脆弱性が緩和されるかどうか、またはまだ公開されているかどうかを確認しようとしています。

また、設定の確認には以下を使用しています。

curl -k --tlsv1.0 https://OUR-DOMAIN.com # error
curl -k --tlsv1.0 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # error

curl -k --tlsv1.2 https://OUR-DOMAIN.com # success
curl -k --tlsv1.2 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # success

まだTLS 1.0のセキュリティ脆弱性にさらされていますか?

これをどのようにテストおよび検証できますか?

10
Charles Green

APIとCloudFrontのオリジン側でTLS 1.0および1.1を無効にしました。

AWSサポートと話しましたが、CloudFront側のビューアでTLS 1.0および1.1を無効にする方法がないようです。サポートから、オープン機能のリクエストがあるが、その実装のタイムラインがないことが通知されました。

これは、ViewerがCloudFrontとのTLS 1.0/1.1接続を確立し、CloudFrontがELBおよびWebサーバーへの1.2接続を確立できることを意味します。

ビューアからのAPI接続にはTLS 1.2が必要です。 API接続を確立できない場合にユーザーに通知するために、UIにチェックを追加する必要があります。

私が望んでいたほどソリューションはクリーンではありませんが、当面のリスクを軽減したようです。

1
Charles Green