TLS/1.0 TLS/1.1 は死んだ?

スターバックスからこんなMailが[Starbucks] 弊社ホームページにおけるセキュリティ強化に関する重要なお知らせ


このたび、弊社では、お客様の情報保護を第一に考え、通信の安全性を確保するために、弊社ホームページにおける「TLS1.0/1.1」を無効化することといたしました。

これには驚いた。
NTTデータ先端技術のSSL/TLS 1.0 はいつまでに無効化しなければならないか?によるとEnd決まっているのか・・・

TLS/1.0はDisableがいいのね。2014年10月まではSSL/3.0使っていたような・・・世の中動きがはやすぎる。

h2o設定変更

/etc/h2o/h2o.conf

minimum-version: TLSv1.2と書いたらOK。
これでTLS 1.0とTLS1.1はDisableになったのでスターバックスと同レベルの暗号化レベル^^;;

“casper.barasu.org:443”:
listen:
port: 443
ssl:
certificate-file: /etc/letsencrypt/live/casper.barasu.org/fullchain.pem
key-file: /etc/letsencrypt/live/casper.barasu.org/privkey.pem
minimum-version: TLSv1.2
cipher-suite: “AESGCM:HIGH:!3DES:!RSA:!aNULL:!eNULL:!MD5:!RC4”
cipher-preference: server
paths:
/:
file.dir: /var/www/barasu
file.dirlisting: OFF
file.send-gzip: ON
file.etag: ON
header.add: “X-XSS-Protection: 1;mode=block”
header.add: “X-Content-Type-Options: nosniff”
header.add: “X-Frame-Options: DENY”
header.add: “X-UA-Compatible: IE=Edge”
header.add: “Strict-Transport-Security: max-age=3153600”
header.add: “Cache-Control: no-transform”
expires: 1 day
redirect:
url: /index.php/
internal: YES
status: 307
/wp-content/uploads/:
redirect:
status: 301
url: https://cdn.barasu.org/
access-log:
/var/log/h2o/casper443-access.log

に変更
大好きSSLLabでテスト

TLS 1.2とTLS 1.3の2つしか喋らないようにした。

でもこれはEC2側なのでCloudFront側でのTLS1.0とTLS1.1のDisableって出来ない気がする。
あとで確認しておく。

まとめ

TLS/1.2以上への移行は「スターバックスがTLS/1.0 TLS/1.1は落としているので是非やりましょう。」これでいいんじゃない?

追記

FC2すごい。

端末買い換え路もある意味1つの解ではある。
買い換えられない環境ももちろんあるわけで、その人たちへの情報提供をどうするのかという問題はあるよなぁ。
下手に公的機関とか学校のサイトをHTTP/2対応にするためにHTTPS Everywhereにすると・・・閲覧出来ない人が数%でてくるよね。
その人たちへのアプローチをどうするかという問題が新に出てきそう。

台風状況とか災害時にはやっぱりHTTPの方がいいのかなぁ
サーバ負荷的にはHTTP/2対応にしてといいたいけど・・・・情報にアクセス出来ない人がいるのは無視できないし・・・
難しいなぁ。