La prise en charge TLS 1.0 sur CloudFront crée-t-elle une vulnérabilité lorsque seuls TLS 1.2 est activé à l'origine?
Nous organisons actuellement notre site Web sur AWS avec CloudFront.
Cloudfront ne supporte actuellement pas la désactivation de TLS 1.0 ou 1.1 du côté de la visionneuse. Il ne fournit que la limitation de l'accès à TLS 1.2 du côté des origine.
J'ai également un accès limité à seulement TLS 1.2 sur l'ELB configuré avec la distribution de CloudFront.
Viewer -> (HTTPS/TLS1.0/1.1/1.2) -> Cloudfront -> (HTTPS/TLS1.2) -> Origin
J'essaie de vérifier si cela atténue les vulnérabilités de sécurité TLS 1.0 ou si nous serions toujours exposés.
En outre, j'utilise ce qui suit pour confirmer les paramètres.
curl -k --tlsv1.0 https://OUR-DOMAIN.com # error
curl -k --tlsv1.0 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # error
curl -k --tlsv1.2 https://OUR-DOMAIN.com # success
curl -k --tlsv1.2 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # success
Sommes-nous toujours exposés aux vulnérabilités de sécurité TLS 1.0?
Comment cela peut-il être testé et validé?
J'ai désactivé TLS 1.0 et 1.1 sur notre API et l'origine du cloudfront.
J'ai parlé avec AWS Support et il semble qu'il n'y ait aucun moyen de désactiver les TLS 1.0 et 1.1 sur le spectateur au cloudfront côté. SUPPORT ME AITIFIÉE QU'ILS Y a-t-il une demande ouverte, mais pas de calendrier pour sa mise en œuvre.
Cela signifie qu'un téléspectateur sera en mesure d'établir une connexion TLS 1.0/1.1 avec Cloudfront et ensuite Cloudfront établira la connexion 1.2 à nos serveurs ELB et Web.
Les connexions API de l'afficheur nécessitent TLS 1.2. Nous devrons ajouter un chèque dans l'interface utilisateur pour informer l'utilisateur si une connexion API ne peut pas être établie.
Bien que pas aussi propre d'une solution que j'avais espéré semble avoir atténué notre risque immédiat.