2016年6月28日火曜日

ELBのHTTPS暗号化方式から弱い方式を除外する方法

概要


暗号スイートという、暗号化技術の利用セットみたいな概念があります。HTTPS(SSL/TLS)通信では、複数の暗号スイートからクライアントとサーバが利用可能なものを自動で選択して利用します。
しかし、場合によっては、弱い暗号化方式を使われてしまい、セキュリティ強度が下がる場合があります。
また、攻撃者はそのような選択が可能な場合、攻撃プログラムに故意にそういう暗号スイートを選択させるようにしたりします。
今回は、セキュリティ強化のために、ELBが、弱い暗号化方式である3DESを利用しないようにします。

しっかり理解したい方は、解説されている方がいらっしゃいますので、そういうブログや、セキュリティ系の書籍等をご覧ください。


理解してるつもりの SSL/TLS でも、もっと理解したら面白かった話 · けんごのお屋敷 http://tkengo.github.io/blog/2015/12/01/https-details/


手順

  1. ロードバランサーの画面を開きます
  2. 対象のロードバランサータグを選択し、リスナータグを開きます。
  3. HTTPSの行の「暗号」をクリックし、カスタムセキュリティポリシーを選択します。
  4. 「SSL暗号」というリストの中から、「DES-CBC3-SHA」を外します。
  5. 「保存」をクリックすると反映されます。
  6. DESを利用した暗号化方式がリストアップされないことを確認します。
    以下の記事を参考にさせていただきました。
    【小ネタ】cipherscan で対象サイトの SSL cipher suite を確認する
    https://blog.cloudpack.jp/2014/07/29/cipherscan-ssl-cipher-suite/


ELBの暗号設定画面では、暗号化プロトコルも選択できます。
たとえばTLS1.2以外は使わせたくないぜ!という場合には、
同様にカスタムセキュリティポリシーの画面を開き、SSL プロトコル」から

これで、またひとつシステムがセキュアになりました。


0 件のコメント:

コメントを投稿