¿El soporte de TLS 1.0 en CloudFront crea una vulnerabilidad cuando solo TLS 1.2 está habilitado en el lado del Origen?

Navega tus respuestas
9

Actualmente alojamos nuestro sitio web en AWS con CloudFront.

CloudFront actualmente no admite la desactivación de TLS 1.0 o 1.1 en el lado del Visor. Solo proporciona soporte para limitar el acceso a TLS 1.2 en el lado del Origen.

También tengo acceso limitado a solo TLS 1.2 en el ELB configurado con la distribución de CloudFront. 

Viewer -> (HTTPS/TLS1.0/1.1/1.2) -> Cloudfront -> (HTTPS/TLS1.2) -> Origin

Estoy tratando de verificar si esto mitiga las vulnerabilidades de seguridad de TLS 1.0 o si todavía estaríamos expuestos.

También, he estado usando lo siguiente para confirmar la configuración. 

curl -k --tlsv1.0 https://OUR-DOMAIN.com # error
curl -k --tlsv1.0 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # error

curl -k --tlsv1.2 https://OUR-DOMAIN.com # success
curl -k --tlsv1.2 https://ELB-ID.ap-northeast-1.elb.amazonaws.com # success

¿Seguimos expuestos a las vulnerabilidades de seguridad de TLS 1.0?

¿Cómo se puede probar y validar esto?

    
pregunta Charles Green 24.07.2017 - 05:01
fuente

1 respuesta

1

He deshabilitado TLS 1.0 y 1.1 en nuestra API y en el lado de origen de CloudFront.

Hablé con el soporte de AWS y parece que no hay manera de deshabilitar TLS 1.0 y 1.1 en el Visor a CloudFront. El soporte me notificó que hay una solicitud de función abierta pero que no hay una línea de tiempo para su implementación.

Esto significa que un Visor podrá establecer una conexión TLS 1.0 / 1.1 con CloudFront y luego CloudFront establecerá la conexión 1.2 a nuestros servidores ELB y web.

Las conexiones API desde el Visor requieren TLS 1.2. Tendremos que agregar una verificación en la interfaz de usuario para notificar al usuario si no se puede establecer una conexión API.

Si bien no es una solución tan limpia como esperaba, parece haber mitigado nuestro riesgo inmediato.

    
respondido por el Charles Green 25.07.2017 - 05:07
fuente

Lea otras preguntas en las etiquetas

Autenticación de API móvil Víctima de ataque de colisión de nombre WPAD: posible fuga de información