2015 年 1 月 7 日午前 8 時 30 分 (大洋平標準時) - 更新
Amazon CloudFront:
デフォルトの CloudFront ドメイン名 (*.cloudfront.net) で SSL を使用するすべてのお客様に対して SSLv3 を無効にしました。
----------------------------------------------------------------------------------------
2014 年 10 月 24 日午後 7 時 30 分 (大洋平標準時) - 更新
Amazon CloudFront:
本日、専用 IP カスタム SSL 証明書の SSLv3 を無効または有効にできる機能を開始しました。この機能の起動前に作成された既存のディストリビューションでは、引き続きデフォルトで SSLv3 が許可されます。専用 IP カスタム SSL を使用する既存のディストリビューションで SSLv3 を無効にする場合、CloudFront API または AWS マネジメントコンソールを使用して無効にできます。ユースケースで許可されている場合は、SSLv3 を無効にすることをお勧めします。この実行方法の詳細については、ドキュメントを参照してください。
念のため、2014 年 11 月 3 日に、デフォルトの CloudFront ドメイン名 (*.cloudfront.net) で SSL を使用するすべてのお客様に対して SSLv3 の無効化を開始します。
----------------------------------------------------------------------------------------
2014 年 10 月 17 日午後 5 時 (大洋平標準時) - 更新
Amazon CloudFront:
Amazon CloudFront で SSLv3 をサポートする計画に関して、3 つの更新を提供したいと思います。
- 来週、専用 IP カスタム SSL 証明書を使用するお客様が SSLv3 接続を受け入れるかどうかを選択する機能を追加します。
• お客様は、Amazon CloudFront API および AWS マネジメントコンソールの設定パラメータを介して、専用 IP カスタム SSL 証明書の SSLv3 を無効または有効にできます。
• この機能の起動前に作成された既存のディストリビューションでは、引き続きデフォルトで SSLv3 が許可されます。専用 IP カスタム SSL を使用する既存のディストリビューションで SSLv3 を無効にする場合、CloudFront API または AWS マネジメントコンソールを使用して無効にできます。
- 来週、CloudFront エッジロケーションのすべてのサーバーへの TLS_FALLBACK_SCSV のデプロイも完了します。この更新では、TLS_FALLBACK_SCSV もサポートするクライアントは、外部的に接続を SSLv3 にダウングレードできません。
- 2014 年 11 月 3 日から、デフォルトの CloudFront (*.cloudfront.net) を使用して SSL を利用するすべてのお客様に対して SSLv3 の無効化を開始します。
• この後、専用 IP カスタム SSL 証明書で SSLv3 のみを許可するのは Amazon CloudFront ポリシーになります。
前回のアップデートで示したように、専用 IP カスタム SSL 証明書を使用するお客様は、SNI のみのカスタム SSL に切り替えることで、SSLv3 をすぐに拒否できます。SNI のみのカスタム SSL ディストリビューションは、すべての SSLv3 接続を拒否します。
2014 年 10 月 15 日午後 3 時 10 分 (大洋平標準時) - 更新
SSL で最近発表された POODLE の問題 (CVE-2014-3566) に関して、すべてのサービスを確認しました。セキュリティ上の予防措置として、可能であれば SSLv3 を無効にすることをお勧めします。これには、サーバーとクライアントの両方の実装で SSLv3 を無効にすることが含まれます。
AWS API エンドポイントは、POODLE ペーパーに記載されている攻撃の影響を受けません。Cookie を使用してユーザーを認証する代わりに、リクエストごとに一意の署名が計算されます。AWS SDK または他の SDK を使用して API エンドポイントにアクセスするお客様からのアクションは必要ありません。
Amazon Linux AMI:
Amazon Linux AMI リポジトリには、POODLE (CVE-2014-3566) および 2014 年 10 月 15 日にリリースされた追加の OpenSSL 問題 (CVE-2014-3513、CVE-2014-3568、CVE-2014-3567) のパッチが含まれるようになりました。詳細については、https://alas.aws.amazon.com/ALAS-2014-426.html および https://alas.aws.amazon.com/ALAS-2014-427.html をご覧ください。
Amazon Elastic Load Balancing:
2014 年 10 月 14 日午後 5 時 (大洋平標準時) 以降に作成されたすべてのロードバランサーは、デフォルトで SSLv3 を無効にする新しい SSL ネゴシエーションポリシーを使用します。
SSLv3 を必要とするお客様は、2014-01 SSL ネゴシエーションポリシーを選択するか、ロードバランサーで使用される SSL 暗号とプロトコルを手動で構成することで、SSLv3 を再度有効にできます。既存のロードバランサーの場合、以下の手順通りに ELB 管理を介して SSLv3 を無効にしてください。
コンソール:
1.ロードバランサーを選択します (EC2 > ロードバランサー)。
2.リスナータブで、暗号列の [変更] をクリックします。
3.[事前定義されたセキュリティポリシー] のラジオボタンが選択されていることを確認します
4.ドロップダウンで、[ELBSecurityPolicy-2014-10] ポリシーを選択します。
5.[保存] をクリックして、設定をリスナーに適用します。
6.各ロードバランサーに対して HTTPS または SSL を使用しているリスナーごとにこれらの手順を繰り返します。
詳細については、http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html をご覧ください。
Amazon CloudFront:
Amazon CloudFront でカスタム SSL 証明書を使用しているお客様は、CloudFront 管理コンソールで以下の手順通りに SSLv3 を無効にできます。
1.ディストリビューションを選択し、[ディストリビューション設定] をクリックします。
2.[全般] タブの [編集] ボタンをクリックします。
3.「カスタム SSL クライアントサポート」セクションで、[サーバー名表示 (SNI) をサポートするクライアントのみ] というオプションを選択します。
4.[はい、編集します] をクリックして、変更された設定を保存します。
詳細については、http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni をご覧ください。
-----------------------------------------------------------------
2014 年 10 月 14 日午後 7 時 5 分 (大洋平標準時) - 更新
SSL で最近発表された POODLE の問題 (CVE-2014-3566) に関して、すべてのサービスを確認しています。セキュリティ上の予防措置として、可能であれば SSLv3 を無効にすることをお勧めします。これには、サーバーとクライアントの両方の実装で SSLv3 を無効にすることが含まれます。
AWS API エンドポイントはこの問題の影響を受けないため、AWS SDK または他の SDK を使用して API エンドポイントにアクセスするお客様からのアクションは必要ありません。
AWS が所有するすべてのウェブサイトの露出を調査しており、このセキュリティ情報を更新する予定です。
Amazon Linux AMI:
問題を評価しています。パッチが利用可能になったら、それらをリポジトリに配置し、https://alas.aws.amazon.com/ でセキュリティ情報を発行する予定です。
Amazon Elastic Load Balancing:
2014 年 10 月 14 日午後 5 時 (大洋平標準時) 以降に作成されたすべてのロードバランサーは、デフォルトで SSLv3 を無効にする新しい SSL ネゴシエーションポリシーを使用します。
SSLv3 を必要とするお客様は、2014-01 SSL ネゴシエーションポリシーを選択するか、ロードバランサーで使用される SSL 暗号とプロトコルを手動で構成することで、SSLv3 を再度有効にできます。既存のロードバランサーの場合、以下の手順通りに ELB 管理を介して SSLv3 を無効にしてください。
コンソール:
1.ロードバランサーを選択します (EC2 > ロードバランサー)。
2.リスナータブで、暗号列の [変更] をクリックします。
3.[事前定義されたセキュリティポリシー] のラジオボタンが選択されていることを確認します
4.ドロップダウンで、[ELBSecurityPolicy-2014-10] ポリシーを選択します。
5.[保存] をクリックして、設定をリスナーに適用します。
6.各ロードバランサーに対して HTTPS または SSL を使用しているリスナーごとにこれらの手順を繰り返します。
詳細については、http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html をご覧ください。
Amazon CloudFront:
Amazon CloudFront でカスタム SSL 証明書を使用しているお客様は、CloudFront 管理コンソールで以下の手順通りに SSLv3 を無効にできます。
1.ディストリビューションを選択し、[ディストリビューション設定] をクリックします。
2.[全般] タブの [編集] ボタンをクリックします。
3.「カスタム SSL クライアントサポート」セクションで、[サーバー名表示 (SNI) をサポートするクライアントのみ] というオプションを選択します。
4.[はい、編集します] をクリックして、変更された設定を保存します。
詳細については、http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni をご覧ください。
-----------------------------------------------------------------
2014 年 10 月 14 日午後 5 時 (大洋平標準時) - 更新
SSL で最近発表された POODLE の問題 (CVE-2014-3566) に関して、すべてのサービスを確認しています。セキュリティ上の予防措置として、可能であれば SSLv3 を無効にすることをお勧めします。これには、サーバーとクライアントの両方の実装で SSLv3 を無効にすることが含まれます。
AWS API エンドポイントはこの問題の影響を受けないため、AWS SDK または他の SDK を使用して API エンドポイントにアクセスするお客様からのアクションは必要ありません。
AWS が所有するすべてのウェブサイトの露出を調査しており、2014 年 10 月 14 日午後 7 時までにこのセキュリティ情報を更新する予定です。
Amazon Elastic Load Balancing:
2014 年 10 月 14 日午後 5 時 (大洋平標準時) 以降に作成されたすべてのロードバランサーは、デフォルトで SSLv3 を無効にする新しい SSL ネゴシエーションポリシーを使用します。
SSLv3 を必要とするお客様は、2014-01 SSL ネゴシエーションポリシーを選択するか、ロードバランサーで使用される SSL 暗号とプロトコルを手動で構成することで、SSLv3 を再度有効にできます。既存のロードバランサーの場合、以下の手順通りに ELB 管理を介して SSLv3 を無効にしてください。
コンソール:
1.ロードバランサーを選択します (EC2 > ロードバランサー)。
2.リスナータブで、暗号列の [変更] をクリックします。
3.[事前定義されたセキュリティポリシー] のラジオボタンが選択されていることを確認します
4.ドロップダウンで、[ELBSecurityPolicy-2014-10] ポリシーを選択します。
5.[保存] をクリックして、設定をリスナーに適用します。
6.各ロードバランサーに対して HTTPS または SSL を使用しているリスナーごとにこれらの手順を繰り返します。
詳細については、http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html をご覧ください。
Amazon CloudFront:
Amazon CloudFront でカスタム SSL 証明書を使用しているお客様は、CloudFront 管理コンソールで以下の手順通りに SSLv3 を無効にできます。
1.ディストリビューションを選択し、[ディストリビューション設定] をクリックします。
2.[全般] タブの [編集] ボタンをクリックします。
3.「カスタム SSL クライアントサポート」セクションで、[サーバー名表示 (SNI) をサポートするクライアントのみ] というオプションを選択します。
4.[はい、編集します] をクリックして、変更された設定を保存します。
詳細については、http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni をご覧ください。
-----------------------------------------------------------------
2014 年 10 月 14 日午後 3 時 30 分 (大洋平標準時)
SSL で最近発表された POODLE の問題 (CVE-2014-3566) に関して、すべてのサービスを確認しています。このセキュリティ情報は、太平洋標準時の 2014 年 10 月 14 日午後 5 時までに更新する予定です。
セキュリティ上の推奨事項として、可能であれば SSLv3 を無効にすることをお勧めします。これには、サーバーとクライアントの両方の実装で SSLv3 を無効にすることが含まれます。
Elastic Load Balancing のお客様は、以下の手順通りに ELB 管理コンソールから SSLv3 を無効にすることにより、ELB の SSLv3 を無効にできます。
1.ロードバランサーを選択します (EC2 > ロードバランサー)。
2.リスナータブで、暗号列の [変更] をクリックします。
3.[カスタムセキュリティポリシー] のラジオボタンが選択されていることを確認します
4.「SSL プロトコル」セクションで「プロトコル-SSLv3」のチェックをオフにします。
5.[保存] をクリックして、設定をリスナーに適用します。
6.各ロードバランサーに対して HTTPS または SSL を使用しているリスナーごとにこれらの手順を繰り返します。
詳細については、http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html をご覧ください。