Il supporto TLS 1.0 su CloudFront crea una vulnerabilità quando solo TLS 1.2 è abilitato sul lato Origin?

Question

Il supporto TLS 1.0 su CloudFront crea una vulnerabilità quando solo TLS 1.2 è abilitato sul lato Origin?

#1 da (1 voti)

9

Attualmente ospitiamo il nostro sito web su AWS con CloudFront.

Attualmente CloudFront non supporta la disabilitazione di TLS 1.0 o 1.1 dal lato del Viewer. Fornisce solo il supporto per limitare l'accesso a TLS 1.2 sul lato Origin.

Ho anche accesso limitato a solo TLS 1.2 sul ELB configurato con la distribuzione CloudFront.

Viewer -> (HTTPS/TLS1.0/1.1/1.2) -> Cloudfront -> (HTTPS/TLS1.2) -> Origin

Sto provando a verificare se questo attenua le vulnerabilità di sicurezza TLS 1.0 o se saremmo ancora esposti.

Inoltre, ho utilizzato quanto segue per confermare le impostazioni.

curl -k --tlsv1.0 https://OUR-DOMAIN.com # error
curl -k --tlsv1.0 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # error

curl -k --tlsv1.2 https://OUR-DOMAIN.com # success
curl -k --tlsv1.2 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # success

Siamo ancora esposti alle vulnerabilità della sicurezza TLS 1.0?

Come può essere testato e convalidato?

aws network tls

posta Charles Green 24.07.2017 - 05:01

fonte

1 risposta

Leggi altre domande sui tag aws network tls

Come gestire un honeypot nel cloud? La data di scadenza di GnuPG differisce tra la chiave pubblica e quella segreta

score 1 · Answer 1

Ho disabilitato TLS 1.0 e 1.1 sulla nostra API e il lato Origin di CloudFront.

Ho parlato con il supporto AWS e sembra che non ci sia modo di disattivare TLS 1.0 e 1.1 sul Visualizzatore sul lato CloudFront. Il supporto mi ha comunicato che esiste una richiesta di funzionalità aperta ma nessuna linea temporale per la sua implementazione.

Ciò significa che un Viewer sarà in grado di stabilire una connessione TLS 1.0 / 1.1 con CloudFront e quindi CloudFront stabilirà la connessione 1.2 al nostro ELB e ai server web.

Le connessioni API dal Viewer richiedono TLS 1.2. Dovremo aggiungere un controllo nell'interfaccia utente per informare l'utente se non è possibile stabilire una connessione API.

Pur non essendo pulito come una soluzione che speravo, sembra aver mitigato il nostro rischio immediato.