Security Policy変更で暗号スイートを強化

2021年2月24日

Voiced by Amazon Polly

NSA、TLSプロトコルの更新を連邦機関のシステム管理責任者に勧告–オランダでもなんて記事が出ていた

「TLS 1.2で特に弱い暗号化アルゴリズムとされているのは、NULL(暗号化なし)、RC2、RC4、DES、IDEA、TDES/3DESであり、これらのアルゴリズムが使われている暗号スイートは用いるべきではない」としている。

あー暗号化Suiteはなぁ~設定常にUpdateしないといけないし・・・

SSLLabsで調べた結果

思ったよりWEAKが多いなぁ~Ciphers Suitesを設定し直しかぁ~と思っていたら。AWSのLoadBalancerのSecurity Policyを変更しました。

セキュリティポリシーの更新通りに設定します

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインの [LOAD BALANCING] で [ロードバランサー] を選択します。

  3. ロードバランサーを選択し、[Listeners] を選択します。

  4. HTTPS リスナーのチェックボックスを選択して、[編集] を選択します。

  5. [Security policy (セキュリティポリシー)] で、セキュリティポリシーを選択します。

  6. [Update] を選択します。

最新のSecurity Policyは「ELBSecurityPolicy-FS-1-2-Res-2020-10」となっています。

TLS listeners for your Network Load BalancerをみてみるとELBSecurityPolicy-FS-1-2-Res-2020-10は

TLS 1.2 OnlyでCiphers Suiteはかなり絞られているねぇ~

黙ってELBSecurityPolicy-FS-1-2-Res-2020-10を適用。

再度SSLLabsで調べてみた

というかんじでWEAKが無くなった。閲覧できる端末は制限かかるんだけど、端末を入れ替えることで解決する問題だし、ここの場末のblogはそこまで古い端末をサポートする必要ないと思っている。端末入替はWeb側で推進することは出来ないから完全に他人任せ

IE 11 / Win 7  RServer sent fatal alert: handshake_failure
IE 11 / Win 8.1  RServer sent fatal alert: handshake_failure
IE 11 / Win Phone 8.1  RServer sent fatal alert: handshake_failure
IE 11 / Win Phone 8.1 Update  RServer sent fatal alert: handshake_failure
Safari 6 / iOS 6.0.1Server sent fatal alert: handshake_failure
Safari 7 / iOS 7.1  RServer sent fatal alert: handshake_failure
Safari 7 / OS X 10.9  RServer sent fatal alert: handshake_failure
Safari 8 / iOS 8.4  RServer sent fatal alert: handshake_failure
Safari 8 / OS X 10.10  RServer sent fatal alert: handshake_failure

閲覧出来ない組合せがSSLLabsに出ているので見てみると・・・うん古いOSだし、Googleアナリティクスをみてもあまり多くないから切り捨てることにした^^;;

幅広く告知するようなサイトは厳しいよなぁ~先のサイトで書かれている

「TLS 1.2またはTLS 1.3のみを使用し、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1は使わないようNSAは勧告する」とされている。

 
公共とかのWebサイトも最近はTLSでの暗号化が多くなってきているけど良いのかなぁ~台風とか災害時へアクセス出来ない人がという問題はありそうな気がする。
 

まとめ

AWSにお任せしているとLoadBalancerのSecurity Policy変更だけで暗号スイートが安心出来るレベルまで上げられる。サーバは裏でぼーっとしておけばOKというのは楽でいいかも。

頑張ってもA+にはなりませんでした^^;;
 
 

CAAとか頑張ればもう少しスコアあがるかもなぁ~