H2OのCipher Suitesの見直し

2019年8月20日

Voiced by Amazon Polly
「Apache HTTPD 2.4.41」がリリース – 「HTTP/2」関連など脆弱性6件を修正なんていう記事が流れてきていた。それに伴いVersion Upしている。
世の中HTTP/2が増えてきてはいるから大変そうだなぁ~^^;;
 
このサーバもCloudFrontH2OでHTTP/2対応しているわけだし人ごとじゃないんだけど、CloudFrontはAmazon側が頑張るのでH2O側だけでいいのは楽。
  H2OはH2O version 2.2.6で対応済みらしい
  • [security fix][http2] fix HTTP/2 DoS attack vectors CVE-2019-9512 CVE-2019-9514 CVE-2019-9515 #2090(Kazuho Oku)
2.2.6以上にUpdateしておく。 私は何も考えずに最新版を利用しているので

# git pull # cmake ./ # make # make install # make clean
で入れ直しました。 「h2o/2.3.0-DEV@7eaa914c」に更新されました ついでにSSLLabsでチェックをかけてみた。 まぁ予
定通り「A」なんだけど(なぜか上から目線)    
  Cipher Suiteをみてみると、TLS1.2のカ所にWEAKが出ている・・   WEAKはないに越したことはないので修正をかける。 WEAKとなっている下記Cipher SuiteをDisableにしておく
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
h2o.confの中のどれにあたるのかわからないのでOpenSSL 暗号スイート名のマッピングページを見ながら修正    
現在のCipher Suiteの設定は
# grep cipher-suite /etc/h2o/h2o.conf
 cipher-suite: "AESGCM:HIGH:!3DES:!RSA:!aNULL:!eNULL:!MD5:!RC4:!ECDHE-RSA-AES256-SHA384:!ECDHE-RSA-AES128-SHA256:!ECDHE-RSA-AES256-SHA:!ECDHE-RSA-AES128-SHA"
  「AESGCM:HIGHを使え!!!、あとはこれは禁止ね」という勢いの設定になっています。   もう1回SSLLabsでチェックをした結果は下記の通り。   これで WEAKが出なくなったのでOKということにしておこう。
それにしても対応しているCipher Suiteの数少ない^^;;  
実質CloudFrontがTLS1.3対応していないので、TLS1.2の2つのCipher Suiteだけ対応という感じなのか
あとは、接続出来ないクライアントをどうするかだよなぁ
 
TLS1.2しか今はCloudFront側では許可していない。 TLS1.1以下の端末は捨ててもいいやというスタンスなんだけどそれはアリだとは思っている。  
「HTTPSはいらない」という考え方もわかる。
国家の広範囲な盗聴行為(Pervasive Surveillance)が明るみに​なるまでは・・・ これは悩ましいよなぁ。
国家的かつ広範囲の盗聴行為って言われても私のサイトがかかるわけではないんだけどね^^;; 盗聴だけならまだ良いかもしれないけど、途中経路で何かを入れ込むことが出来るというのは避けたいんだよなぁ
 
どうせ見られていないからいいかというとそうでもないきがするし・・・難しい。 とりあえず私はHTTPS推進したい人であるのは間違い無い。
どうせHTTPSを推進するなら安全な環境を提供したいしなぁ