Security Policy変更で暗号スイートを強化
NSA、TLSプロトコルの更新を連邦機関のシステム管理責任者に勧告–オランダでもなんて記事が出ていた
「TLS 1.2で特に弱い暗号化アルゴリズムとされているのは、NULL(暗号化なし)、RC2、RC4、DES、IDEA、TDES/3DESであり、これらのアルゴリズムが使われている暗号スイートは用いるべきではない」としている。
あー暗号化Suiteはなぁ~設定常にUpdateしないといけないし・・・
SSLLabsで調べた結果
思ったよりWEAKが多いなぁ~Ciphers Suitesを設定し直しかぁ~と思っていたら。AWSのLoadBalancerのSecurity Policyを変更しました。
セキュリティポリシーの更新通りに設定します
https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。
ナビゲーションペインの [LOAD BALANCING] で [ロードバランサー] を選択します。
ロードバランサーを選択し、[Listeners] を選択します。
HTTPS リスナーのチェックボックスを選択して、[編集] を選択します。
[Security policy (セキュリティポリシー)] で、セキュリティポリシーを選択します。
[Update] を選択します。
最新のSecurity Policyは「ELBSecurityPolicy-FS-1-2-Res-2020-10」となっています。
TLS listeners for your Network Load BalancerをみてみるとELBSecurityPolicy-FS-1-2-Res-2020-10は
TLS 1.2 OnlyでCiphers Suiteはかなり絞られているねぇ~
黙ってELBSecurityPolicy-FS-1-2-Res-2020-10を適用。
再度SSLLabsで調べてみた
というかんじでWEAKが無くなった。閲覧できる端末は制限かかるんだけど、端末を入れ替えることで解決する問題だし、ここの場末のblogはそこまで古い端末をサポートする必要ないと思っている。端末入替はWeb側で推進することは出来ないから完全に他人任せ
| IE 11 / Win 7 R | Server sent fatal alert: handshake_failure | ||
| IE 11 / Win 8.1 R | Server sent fatal alert: handshake_failure | ||
| IE 11 / Win Phone 8.1 R | Server sent fatal alert: handshake_failure | ||
| IE 11 / Win Phone 8.1 Update R | Server sent fatal alert: handshake_failure | ||
| Safari 6 / iOS 6.0.1 | Server sent fatal alert: handshake_failure | ||
| Safari 7 / iOS 7.1 R | Server sent fatal alert: handshake_failure | ||
| Safari 7 / OS X 10.9 R | Server sent fatal alert: handshake_failure | ||
| Safari 8 / iOS 8.4 R | Server sent fatal alert: handshake_failure | ||
| Safari 8 / OS X 10.10 R | Server sent fatal alert: handshake_failure | ||
閲覧出来ない組合せがSSLLabsに出ているので見てみると・・・うん古いOSだし、Googleアナリティクスをみてもあまり多くないから切り捨てることにした^^;;
幅広く告知するようなサイトは厳しいよなぁ~先のサイトで書かれている
「TLS 1.2またはTLS 1.3のみを使用し、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1は使わないようNSAは勧告する」とされている。
まとめ
AWSにお任せしているとLoadBalancerのSecurity Policy変更だけで暗号スイートが安心出来るレベルまで上げられる。サーバは裏でぼーっとしておけばOKというのは楽でいいかも。
CAAとか頑張ればもう少しスコアあがるかもなぁ~