Il supporto TLS 1.0 su CloudFront crea una vulnerabilità quando solo TLS 1.2 è abilitato sul lato Origin?

9

Attualmente ospitiamo il nostro sito web su AWS con CloudFront.

Attualmente CloudFront non supporta la disabilitazione di TLS 1.0 o 1.1 dal lato del Viewer. Fornisce solo il supporto per limitare l'accesso a TLS 1.2 sul lato Origin.

Ho anche accesso limitato a solo TLS 1.2 sul ELB configurato con la distribuzione CloudFront.

Viewer -> (HTTPS/TLS1.0/1.1/1.2) -> Cloudfront -> (HTTPS/TLS1.2) -> Origin

Sto provando a verificare se questo attenua le vulnerabilità di sicurezza TLS 1.0 o se saremmo ancora esposti.

Inoltre, ho utilizzato quanto segue per confermare le impostazioni.

curl -k --tlsv1.0 https://OUR-DOMAIN.com # error
curl -k --tlsv1.0 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # error

curl -k --tlsv1.2 https://OUR-DOMAIN.com # success
curl -k --tlsv1.2 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # success

Siamo ancora esposti alle vulnerabilità della sicurezza TLS 1.0?

Come può essere testato e convalidato?

    
posta Charles Green 24.07.2017 - 05:01
fonte

1 risposta

1

Ho disabilitato TLS 1.0 e 1.1 sulla nostra API e il lato Origin di CloudFront.

Ho parlato con il supporto AWS e sembra che non ci sia modo di disattivare TLS 1.0 e 1.1 sul Visualizzatore sul lato CloudFront. Il supporto mi ha comunicato che esiste una richiesta di funzionalità aperta ma nessuna linea temporale per la sua implementazione.

Ciò significa che un Viewer sarà in grado di stabilire una connessione TLS 1.0 / 1.1 con CloudFront e quindi CloudFront stabilirà la connessione 1.2 al nostro ELB e ai server web.

Le connessioni API dal Viewer richiedono TLS 1.2. Dovremo aggiungere un controllo nell'interfaccia utente per informare l'utente se non è possibile stabilire una connessione API.

Pur non essendo pulito come una soluzione che speravo, sembra aver mitigato il nostro rischio immediato.

    
risposta data 25.07.2017 - 05:07
fonte

Leggi altre domande sui tag