当 Origin 端仅启用 TLS 1.2 时,CloudFront 上的 TLS 1.0 支持是否会产生漏洞?

信息安全 tls 网络 aws
2021-09-06 00:22:18

我们目前使用 CloudFront 在 AWS 上托管我们的网站。

CloudFront 目前不支持在查看器端禁用 TLS 1.0 或 1.1。它仅支持在 Origin 端限制对 TLS 1.2 的访问。

我还限制了对配置了 CloudFront 分配的 ELB 上的 TLS 1.2 的访问。 

Viewer -> (HTTPS/TLS1.0/1.1/1.2) -> Cloudfront -> (HTTPS/TLS1.2) -> Origin

我正在尝试验证这是否可以缓解 TLS 1.0 安全漏洞,或者我们是否仍会被暴露。

另外,我一直在使用以下内容来确认设置。

curl -k --tlsv1.0 https://OUR-DOMAIN.com # error
curl -k --tlsv1.0 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # error

curl -k --tlsv1.2 https://OUR-DOMAIN.com # success
curl -k --tlsv1.2 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # success

我们是否仍然面临 TLS 1.0 安全漏洞?

如何对此进行测试和验证?

1个回答

我在我们的 API 和 CloudFront 的源端禁用了 TLS 1.0 和 1.1。

我与 AWS 支持人员进行了交谈,似乎无法在查看器到 CloudFront 端禁用 TLS 1.0 和 1.1。支持人员通知我有一个开放的功能请求,但没有实施时间表。

这意味着查看器将能够与 CloudFront 建立 TLS 1.0/1.1 连接,然后 CloudFront 将与我们的 ELB 和 Web 服务器建立 1.2 连接。

查看器的 API 连接需要 TLS 1.2。如果无法建立 API 连接,我们将需要在 UI 中添加检查以通知用户。

虽然没有我希望的那样干净的解决方案,但它似乎减轻了我们的直接风险。

其它你可能感兴趣的问题
上一篇PHP eval 代码沙箱中断 下一篇MDK3是如何进行deauth攻击的?