H2OのCipher Suitesの見直し
「Apache HTTPD 2.4.41」がリリース – 「HTTP/2」関連など脆弱性6件を修正なんていう記事が流れてきていた。それに伴いVersion Upしている。
WEAKはないに越したことはないので修正をかける。 WEAKとなっている下記Cipher SuiteをDisableにしておく
これで
WEAKが出なくなったのでOKということにしておこう。
TLS1.2しか今はCloudFront側では許可していない。 TLS1.1以下の端末は捨ててもいいやというスタンスなんだけどそれはアリだとは思っている。
世の中HTTP/2が増えてきてはいるから大変そうだなぁ~^^;;
H2OはH2O version 2.2.6で対応済みらしい
- [security fix][http2] fix HTTP/2 DoS attack vectors CVE-2019-9512 CVE-2019-9514 CVE-2019-9515 #2090(Kazuho Oku)
# git pull # cmake ./ # make # make install # make clean
で入れ直しました。 「h2o/2.3.0-DEV@7eaa914c」に更新されました ついでにSSLLabsでチェックをかけてみた。 まぁ予
定通り「A」なんだけど(なぜか上から目線)
Cipher Suiteをみてみると、TLS1.2のカ所にWEAKが出ている・・ - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
h2o.confの中のどれにあたるのかわからないのでOpenSSL 暗号スイート名のマッピングページを見ながら修正
現在のCipher Suiteの設定は
# grep cipher-suite /etc/h2o/h2o.conf
cipher-suite: "AESGCM:HIGH:!3DES:!RSA:!aNULL:!eNULL:!MD5:!RC4:!ECDHE-RSA-AES256-SHA384:!ECDHE-RSA-AES128-SHA256:!ECDHE-RSA-AES256-SHA:!ECDHE-RSA-AES128-SHA"
「AESGCM:HIGHを使え!!!、あとはこれは禁止ね」という勢いの設定になっています。 もう1回SSLLabsでチェックをした結果は下記の通り。
それにしても対応しているCipher Suiteの数少ない^^;;
実質CloudFrontがTLS1.3対応していないので、TLS1.2の2つのCipher Suiteだけ対応という感じなのか
あとは、接続出来ないクライアントをどうするかだよなぁ
「HTTPSはいらない」という考え方もわかる。
国家の広範囲な盗聴行為(Pervasive Surveillance)が明るみになるまでは・・・ これは悩ましいよなぁ。
国家的かつ広範囲の盗聴行為って言われても私のサイトがかかるわけではないんだけどね^^;; 盗聴だけならまだ良いかもしれないけど、途中経路で何かを入れ込むことが出来るというのは避けたいんだよなぁ
どうせ見られていないからいいかというとそうでもないきがするし・・・難しい。 とりあえず私はHTTPS推進したい人であるのは間違い無い。
どうせHTTPSを推進するなら安全な環境を提供したいしなぁ