現在、AWSでCloudFrontを使用してウェブサイトをホストしています。
CloudFrontは現在、ビューア側でのTLS 1.0または1.1の無効化をサポートしていません。 Origin側でのTLS 1.2へのアクセス制限のサポートのみを提供します。
また、CloudFrontディストリビューションで構成されたELB上のTLS 1.2のみへのアクセスを制限しています。
Viewer -> (HTTPS/TLS1.0/1.1/1.2) -> Cloudfront -> (HTTPS/TLS1.2) -> Origin
これによりTLS 1.0のセキュリティの脆弱性が緩和されるかどうか、またはまだ公開されているかどうかを確認しようとしています。
また、設定の確認には以下を使用しています。
curl -k --tlsv1.0 https://OUR-DOMAIN.com # error
curl -k --tlsv1.0 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # error
curl -k --tlsv1.2 https://OUR-DOMAIN.com # success
curl -k --tlsv1.2 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # success
まだTLS 1.0のセキュリティ脆弱性にさらされていますか?
これをどのようにテストおよび検証できますか?
APIとCloudFrontのオリジン側でTLS 1.0および1.1を無効にしました。
AWSサポートと話しましたが、CloudFront側のビューアでTLS 1.0および1.1を無効にする方法がないようです。サポートから、オープン機能のリクエストがあるが、その実装のタイムラインがないことが通知されました。
これは、ViewerがCloudFrontとのTLS 1.0/1.1接続を確立し、CloudFrontがELBおよびWebサーバーへの1.2接続を確立できることを意味します。
ビューアからのAPI接続にはTLS 1.2が必要です。 API接続を確立できない場合にユーザーに通知するために、UIにチェックを追加する必要があります。
私が望んでいたほどソリューションはクリーンではありませんが、当面のリスクを軽減したようです。