Calcoli SSL temprati per Nginx come origine personalizzata AWS / Cloudfront

0

Sulla base di raccomandazioni , abbiamo recentemente tentato di rafforzare la nostra configurazione Nginx SSL contro Attacchi BEAST / CRIME / BREACH con la seguente stanza:

ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:RC4-SHA;

Utilizziamo AWS Cloudfront per distribuire risorse statiche e utilizzare Nginx per servire i file come origine personalizzata. Tuttavia, dal momento che limitano i cifrari consentiti, le posizioni edge di Cloudfront non sono state in grado di negoziare connessioni sicure con Nginx.

Anche se non riesco a trovare da nessuna parte che AWS documenti i loro cifrari preferiti, discussione nei forum di AWS suggerisce che l'abilitazione del codice MD5 risolverà il problema.

Non essendo un esperto in materia, non sono del tutto sicuro di come integrare ciò che funziona per AWS con ciò che funziona per una configurazione sicura! Ho capito che MD5 è "salsa debole" come i codici vanno. Sarebbe accettabile abilitare il cifrario MD5 per le posizioni di risorse statiche di cui Cloudfront ha bisogno, e usare la stanza ssl_ciphers rafforzata per tutto il resto, oppure si apre una fessura nell'armatura?

Inoltre, quale sarebbe la formulazione corretta della stanza ssl_ciphers essere?

    
posta David Eyk 14.08.2013 - 19:50
fonte

3 risposte

4

Ad oggi (agosto 2013), i noti punti deboli di MD5 hanno nessun impatto sulla sicurezza di SSL / TLS. I problemi con MD5 possono indurre problemi con i certificati X.509 , ma questa è un'attività della CA e non è correlata alla scelta delle suite di crittografia.

Sotto questo aspetto, RC4 è in realtà più debole di MD5. RC4 induce pregiudizi misurabili, che molto raramente hanno una certa importanza, ma almeno sono reali.

Se comprendo correttamente il tuo problema, Cloudfront si connetterà al tuo server come client SSL; quindi, è sufficiente eseguire sul server uno strumento di monitoraggio della rete (ad es. Wireshark ) per catturare un tentativo di connessione dal computer di Cloudfront; il primo messaggio SSL da quella macchina, ClientHello , elencherà le versioni di protocollo e le suite di crittografia supportate dalla macchina Cloudfront. Se vuoi sapere cosa supporta realmente il tuo server (es. effetto della tua configurazione), prova questo strumento , o quello se il tuo server può essere contattato "da Internet". Confronta gli elenchi, trova ciò che manca.

    
risposta data 14.08.2013 - 22:10
fonte
3

La documentazione di Amazon Cloudfront afferma che supportano solo i codici AES128-SHA1 e RC4-MD5. Prova ad abilitare AES128-SHA1 - mentre non è buono come AES256, è meglio di RC4.

link

    
risposta data 29.01.2014 - 16:19
fonte
1

Per quello che vale, la risposta di John Hardin è stata corretta quando è stata scritta, ma ci sono state buone notizie. Nell'agosto 2014, AWS ha annunciato il supporto per le nuove suite di crittografia AES , compresi i bei ECDHE usati nella domanda. Quella configurazione ora dovrebbe funzionare perfettamente con CloudFront.

La documentazione della suite di crittografia collegata sopra include la nuova lista.

    
risposta data 23.08.2014 - 08:42
fonte

Leggi altre domande sui tag