TLSのバージョンアップ AWSのALB使っているんだけど [クラウド]
opencv4nodejsの続編を書こうと思ったのではあるが、セキュリティ関係でホットな「ネタ」ができたので、ちょっと書いてみようと思う。
HTTPでセキュアな通信をしようとしたら、暗号化してHTTPSになる。20年前くらいは「SSL」って呼んでたかなぁ。
SSLはSecure Sockets Layer(え、Secret Socket Layerじゃないの?微妙な違いだから"ごまかせる"かも)。
なんかいつの間にか、TLSとか呼ばれるようになった。TLSはTransport Layer Securityだそうな。
でもって、SSLがTLSになったのだが、そのバージョンとしては
SSL1.0 -> SSL2.0 -> SSL3.0 -> TLS1.0 -> TLS1.1 -> TLS1.2 -> TLS1.3
のように遷移している模様。
でもって、2020年時点では、SSLはあまり使われていなくて、TLS1.2が主流。
言わずもがな、バージョンが大きい方が「セキュア度が高い」そりゃそうだよね。
TLS1.0や1.1は”もう古い”過去のプロトコルであるらしい。
でもって、自分の関係しているWebサイトに対して、セキュリティ評価にかけてもらったのだが、その結果...
TLS1.0や1.1はもはや推奨されない暗号化通信になるので、早急なバージョンアップをお願いします。
というもの。
どうも、2020年にはメジャーなブラウザでTLS1.0/1.1が無効化されるらしい。
でも、今は2020年の12月だけど?
「コロナの影響で先延ばし」みたいな記事も発見できた。
WebサイトはAWS上に構築している。WebサイトのフロントエンドはALB。ALB配下にnodejsのECSタスクを複数立てている感じ。ALBのリスナーポートが443で、nodejs側のポート3000に転送されるようになっている。クライアントとALB間がTLSで暗号化されたHTTPS通信となり、ALBとECSタスク間は暗号化されていないHTTP通信となる。
なので、AWS ALBを使っているのであれば、ALBの設定を変更すれば、TSL1.2だけを使うようにすぐに変えることができる。
参考サイト
https://www.japon-line.co.jp/tech/aws-elastic-load-balancerのtlsバージョンを1-2に固定する方法/
「だが、しかし」である。
上記のサイトにも書いてある通り、ホイホイと気軽にやると、
昨日までは繋がっていたのに、今日は「使えないぞ」。
なんか、TLSのバージョンがどうのと言っているが「これは何だ」。
といったクレームが頻発するかも知れない。
メジャーどころのブラウザはTLS1.0/1.1を廃止するといっても、それは最新バージョンでの話。いまだにWindows7やXPで古いバージョンのIEを現役で使っているところも少なくはない... かも知れない。
ということで、ALBのログを収集して、TLS1.0でアクセスしてくるクライアントが「どの程度いる」のかを調べてみることにした。
ALBでのログ収集はいたって簡単。チェックボックスにチェックを入れて有効化するだけ。ログはS3に保存されるが、ポリシー設定するのが面倒なので、ALBの設定画面でS3バケットを新規に作成するチェックを入れてログを有効化した。
有効化するとS3にログファイルが溜まり始める。ログファイルは5分毎に分割されて作成されていく。ローカルに持ってきてデータベースに入れて集計してもよかったのだが、AWSのAthenaを使うと「いとも簡単」にできるようなので、やってみた。
以下のサイトが元ネタ
https://dev.classmethod.jp/articles/alblog-tls/
ログ分析のやり方は上記のサイトにゆずるとして、SQL命令で簡単に集計することができた。
ふーん、時代は進んでいるのね。
apacheのログを持ってきて、集計して、分析ということを昔は"苦労して"やっていたような気がするが...
それはさておき、半日が経過した時点で集計してみると、ほとんどがTLSv1.2であることが判明。
何だ、取り越し苦労だったかも。でも、まだサンプル数が少ない、ということもあり得るかな。もう少しログ収集を続けてみよう。
サイト内を検索
HTTPでセキュアな通信をしようとしたら、暗号化してHTTPSになる。20年前くらいは「SSL」って呼んでたかなぁ。
SSLはSecure Sockets Layer(え、Secret Socket Layerじゃないの?微妙な違いだから"ごまかせる"かも)。
なんかいつの間にか、TLSとか呼ばれるようになった。TLSはTransport Layer Securityだそうな。
でもって、SSLがTLSになったのだが、そのバージョンとしては
SSL1.0 -> SSL2.0 -> SSL3.0 -> TLS1.0 -> TLS1.1 -> TLS1.2 -> TLS1.3
のように遷移している模様。
でもって、2020年時点では、SSLはあまり使われていなくて、TLS1.2が主流。
言わずもがな、バージョンが大きい方が「セキュア度が高い」そりゃそうだよね。
TLS1.0や1.1は”もう古い”過去のプロトコルであるらしい。
でもって、自分の関係しているWebサイトに対して、セキュリティ評価にかけてもらったのだが、その結果...
TLS1.0や1.1はもはや推奨されない暗号化通信になるので、早急なバージョンアップをお願いします。
というもの。
どうも、2020年にはメジャーなブラウザでTLS1.0/1.1が無効化されるらしい。
でも、今は2020年の12月だけど?
「コロナの影響で先延ばし」みたいな記事も発見できた。
WebサイトはAWS上に構築している。WebサイトのフロントエンドはALB。ALB配下にnodejsのECSタスクを複数立てている感じ。ALBのリスナーポートが443で、nodejs側のポート3000に転送されるようになっている。クライアントとALB間がTLSで暗号化されたHTTPS通信となり、ALBとECSタスク間は暗号化されていないHTTP通信となる。
なので、AWS ALBを使っているのであれば、ALBの設定を変更すれば、TSL1.2だけを使うようにすぐに変えることができる。
参考サイト
https://www.japon-line.co.jp/tech/aws-elastic-load-balancerのtlsバージョンを1-2に固定する方法/
「だが、しかし」である。
上記のサイトにも書いてある通り、ホイホイと気軽にやると、
昨日までは繋がっていたのに、今日は「使えないぞ」。
なんか、TLSのバージョンがどうのと言っているが「これは何だ」。
といったクレームが頻発するかも知れない。
メジャーどころのブラウザはTLS1.0/1.1を廃止するといっても、それは最新バージョンでの話。いまだにWindows7やXPで古いバージョンのIEを現役で使っているところも少なくはない... かも知れない。
ALBのログ
ということで、ALBのログを収集して、TLS1.0でアクセスしてくるクライアントが「どの程度いる」のかを調べてみることにした。
ALBでのログ収集はいたって簡単。チェックボックスにチェックを入れて有効化するだけ。ログはS3に保存されるが、ポリシー設定するのが面倒なので、ALBの設定画面でS3バケットを新規に作成するチェックを入れてログを有効化した。
有効化するとS3にログファイルが溜まり始める。ログファイルは5分毎に分割されて作成されていく。ローカルに持ってきてデータベースに入れて集計してもよかったのだが、AWSのAthenaを使うと「いとも簡単」にできるようなので、やってみた。
以下のサイトが元ネタ
https://dev.classmethod.jp/articles/alblog-tls/
ログ分析のやり方は上記のサイトにゆずるとして、SQL命令で簡単に集計することができた。
ふーん、時代は進んでいるのね。
apacheのログを持ってきて、集計して、分析ということを昔は"苦労して"やっていたような気がするが...
それはさておき、半日が経過した時点で集計してみると、ほとんどがTLSv1.2であることが判明。
何だ、取り越し苦労だったかも。でも、まだサンプル数が少ない、ということもあり得るかな。もう少しログ収集を続けてみよう。
関連記事
Let's Encryptでのサーバ証明書が有効期限切れ
Certbot 無料でサーバー証明書を取得する Let's Encrypt
TLSのバージョンアップ AWSのALB使っているんだけど
Let's Encryptでのサーバ証明書が有効期限切れ
Certbot 無料でサーバー証明書を取得する Let's Encrypt
TLSのバージョンアップ AWSのALB使っているんだけど
サイト内を検索
Copyright Atsushi Asai Google+朝井淳
AREarthroid さん
-
nice! 100
記事 507
テーマ パソコン・インターネット (11位)
プロフィール
ブログを紹介する
![[改訂第4版]SQLポケットリファレンス](https://images-fe.ssl-images-amazon.com/images/I/51T1BV7VWXL._SL160_.jpg "[改訂第4版]SQLポケットリファレンス")
- 作者: 朝井 淳
- 出版社/メーカー: 技術評論社
- 発売日: 2017/02/18
- メディア: 単行本(ソフトカバー)
- 作者: 朝井 淳
- 出版社/メーカー: 技術評論社
- 発売日: 2019/05/16
- メディア: 単行本(ソフトカバー)
![[データベースの気持ちがわかる]SQLはじめの一歩 (WEB+DB PRESS plus)](https://images-fe.ssl-images-amazon.com/images/I/51YR52dRIQL._SL160_.jpg "[データベースの気持ちがわかる]SQLはじめの一歩 (WEB+DB PRESS plus)")
[データベースの気持ちがわかる]SQLはじめの一歩 (WEB+DB PRESS plus)
- 作者: 朝井 淳
- 出版社/メーカー: 技術評論社
- 発売日: 2015/03/03
- メディア: 単行本(ソフトカバー)
Access クエリ 徹底活用ガイド ~仕事の現場で即使える
- 作者: 朝井 淳
- 出版社/メーカー: 技術評論社
- 発売日: 2018/05/25
- メディア: 大型本
コメント 0