2015/01/07 太平洋标准时间上午 8:30 – 更新 –

Amazon CloudFront:

对于所有通过默认 CloudFront 域名 (*.cloudfront.net) 来使用 SSL 的客户,我们已经禁用了 SSLv3。

 

----------------------------------------------------------------------------------------

 

2014/10/24 – 太平洋夏令时晚上 7:30 – 更新 –

Amazon CloudFront:

今天,我们推出了一项功能,允许客户为专用 IP 自定义 SSL 证书禁用或启用 SSLv3。在此功能推出前创建的现有分配将继续默认允许 SSLv3;如果客户希望在使用专用 IP 自定义 SSL 的现有分配上禁用 SSLv3,可以使用 CloudFront API 或 AWS 管理控制台完成此操作。如果客户的使用案例允许,我们建议客户禁用 SSLv3。有关如此完成此操作的更多信息,请参阅我们的文档

请注意,我们将于 2014 年 11 月 3 日开始对所有通过默认 CloudFront 域名 (*.cloudfront.net) 来使用 SSL 的客户禁用 SSLv3。

 

----------------------------------------------------------------------------------------

 

2014/10/17 – 太平洋夏令时下午 5:00 – 更新

 

Amazon CloudFront:

针对我们在 Amazon CloudFront 中支持 SSLv3 的计划,我们将提供三项更新。

  1. 下周我们将推出一项新功能,允许使用专用 IP 自定义 SSL 证书的客户选择是否接受 SSLv3 连接

    • 客户可以通过 Amazon CloudFront API 和 AWS 管理控制台中的配置参数,为专用 IP 自定义 SSL 证书禁用或启用 SSLv3。

    • 在此功能推出前创建的现有分配将继续默认允许 SSLv3;如果客户希望在使用专用 IP 自定义 SSL 的现有分配上禁用 SSLv3,可以使用 CloudFront API 或 AWS 管理控制台完成此操作。
  2. 下周我们还将完成将 TLS_FALLBACK_SCSV 部署到我们 CloudFront 边缘站点的所有服务器中。完成此更新后,同时支持 TLS_FALLBACK_SCSV 的客户端将无法将其外部连接降级至 SSLv3。
  3. 从 2014 年 11 月 3 日起,我们将开始对所有通过默认 CloudFront (*.cloudfront.net) 来使用 SSL 的客户禁用 SSLv3。

    • 在此之后,Amazon CloudFront 的策略将仅允许在专用 IP 自定义 SSL 证书上使用 SSLv3


如之前我们的更新所指出,使用专用 IP 自定义 SSL 证书的客户可以立即通过切换到仅 SNI 自定义 SSL 来禁用 SSLv3。仅 SNI 自定义 SSL 分配会拒绝所有 SSLv3 连接。

 

2014/10/15 太平洋夏令时下午 3:10 – 更新 –

针对最近公布的有关 SSL 的 POODLE 问题 (CVE-2014-3566),我们对我们所有的服务进行了检查。为安全起见,我们建议客户尽可能禁用 SSLv3。这包括在服务器和客户端实现上禁用 SSLv3。

AWS API 终端节点不受 POODLE 公告中描述的攻击影响。请停止使用 Cookie 来验证用户身份,而应为每个请求计算一个唯一的签名。使用 AWS 开发工具包或其他软件开发工具包来访问我们的 API 终端节点的客户无需执行任何操作。


Amazon Linux AMI:
Amazon Linux AMI 存储库现已包含了针对 POODLE (CVE-2014-3566) 以及 2014 年 10 月 15 日发布的其他 OpenSSL 问题(CVE-2014-3513、CVE-2014-3568、CVE-2014-3567)的补丁。请访问 https://alas.aws.amazon.com/ALAS-2014-426.htmlhttps://alas.aws.amazon.com/ALAS-2014-427.html 了解更多信息。

 

Amazon Elastic Load Balancing:
在 2014 年 10 月 14 日太平洋夏令时下午 5:00 以后创建的所有负载均衡器都将使用新的 SSL 协商策略,该策略将会默认不再启用 SSLv3。
如果客户需要使用 SSLv3,可以选择 2014-01 SSL 协商策略或手动配置负载均衡器将使用的 SSL 密码和协议,从而重新启用它。对于现有的负载均衡器,请按照以下步骤,通过 ELB 管理控制台来禁用 SSLv3:
-
    1.选择您的负载均衡器(EC2 > 负载均衡器)。
    2.在“侦听器”选项卡中,单击“密码”列中的“更改”。
    3.确保选中“预定义安全策略”的单选按钮
    4.在下拉列表中,选择“ELBSecurityPolicy-2014-10”策略。
    5.点击“保存”以将设置应用于侦听器。
    6.为每个针对各负载均衡器使用 HTTPS 或 SSL 的侦听器重复上述步骤。

有关更多信息,请参阅 http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

 

Amazon CloudFront:
在 Amazon CloudFront 上使用自定义 SSL 证书的客户可以按照以下步骤,在 CloudFront 管理控制台中禁用 SSLv3:
    1.选择您的分配,然后单击“分配设置”。
    2.单击“通用”选项卡上的“编辑”按钮。
    3.在“自定义 SSL 客户端支持”部分,选择选项:“仅支持服务器名称指示 (SNI) 的客户端”
    4.单击“是,编辑”以保持这些修改后的设置。

有关更多信息,请参阅 http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

-----------------------------------------------------------------

2014/10/14 太平洋夏令时晚上 7:05 – 更新 –

针对最近公布的有关 SSL 的 POODLE 问题 (CVE-2014-3566),我们正在检查我们所有的服务。为安全起见,我们建议客户尽可能禁用 SSLv3。这包括在服务器和客户端实现上禁用 SSLv3。

AWS API 终端节点不受此问题影响。使用 AWS 开发工具包或其他软件开发工具包来访问我们的 API 终端节点的客户无需执行任何操作。

我们正在检查此问题对 AWS 拥有的所有网站的影响,并且将会更新此公告。

 

Amazon Linux AMI:

我们正在评估此问题,当有补丁可用时,我们 会将补丁放入我们的存储库并在 https://alas.aws.amazon.com/ 发布安全公告

Amazon Elastic Load Balancing:
在 2014 年 10 月 14 日太平洋夏令时下午 5:00 以后创建的所有负载均衡器都将使用新的 SSL 协商策略,该策略将会默认不再启用 SSLv3。

如果客户需要使用 SSLv3,可以选择 2014-01 SSL 协商策略或手动配置负载均衡器将使用的 SSL 密码和协议,从而重新启用它。对于现有的负载均衡器,请按照以下步骤,通过 ELB 管理控制台来禁用 SSLv3:
-
    1.选择您的负载均衡器(EC2 > 负载均衡器)。
    2.在“侦听器”选项卡中,单击“密码”列中的“更改”。
    3.确保选中“预定义安全策略”的单选按钮
    4.在下拉列表中,选择“ELBSecurityPolicy-2014-10”策略。
    5.点击“保存”以将设置应用于侦听器。
    6.为每个针对各负载均衡器使用 HTTPS 或 SSL 的侦听器重复上述步骤。

有关更多信息,请参阅 http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

Amazon CloudFront:
在 Amazon CloudFront 上使用自定义 SSL 证书的客户可以按照以下步骤,在 CloudFront 管理控制台中禁用 SSLv3:
    1.选择您的分配,然后单击“分配设置”。
    2.单击“通用”选项卡上的“编辑”按钮。
    3.在“自定义 SSL 客户端支持”部分,选择选项:“仅支持服务器名称指示 (SNI) 的客户端”
    4.单击“是,编辑”以保持这些修改后的设置。

有关更多信息,请参阅 http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

-----------------------------------------------------------------

2014/10/14 太平洋夏令时下午 5:00 – 更新 –

针对最近公布的有关 SSL 的 POODLE 问题 (CVE-2014-3566),我们正在检查我们所有的服务。为安全起见,我们建议客户尽可能禁用 SSLv3。这包括在服务器和客户端实现上禁用 SSLv3。

AWS API 终端节点不受此问题影响。使用 AWS 开发工具包或其他软件开发工具包来访问我们的 API 终端节点的客户无需执行任何操作。

我们正在检查此问题对 AWS 拥有的所有网站的影响,并将在 2014 年 10 月 14 日太平洋时间晚上 7:00 更新此公告。

 

Amazon Elastic Load Balancing:
在 2014 年 10 月 14 日太平洋夏令时下午 5:00 以后创建的所有负载均衡器都将使用新的 SSL 协商策略,该策略将会默认不再启用 SSLv3。

如果客户需要使用 SSLv3,可以选择 2014-01 SSL 协商策略或手动配置负载均衡器将使用的 SSL 密码和协议,从而重新启用它。对于现有的负载均衡器,请按照以下步骤,通过 ELB 管理控制台来禁用 SSLv3:
-
    1.选择您的负载均衡器(EC2 > 负载均衡器)。
    2.在“侦听器”选项卡中,单击“密码”列中的“更改”。
    3.确保选中“预定义安全策略”的单选按钮
    4.在下拉列表中,选择“ELBSecurityPolicy-2014-10”策略。
    5.点击“保存”以将设置应用于侦听器。
    6.为每个针对各负载均衡器使用 HTTPS 或 SSL 的侦听器重复上述步骤。

有关更多信息,请参阅 http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

 

Amazon CloudFront:
在 Amazon CloudFront 上使用自定义 SSL 证书的客户可以按照以下步骤,在 CloudFront 管理控制台中禁用 SSLv3:
    1.选择您的分配,然后单击“分配设置”。
    2.单击“通用”选项卡上的“编辑”按钮。
    3.在“自定义 SSL 客户端支持”部分,选择选项:“仅支持服务器名称指示 (SNI) 的客户端”
    4.单击“是,编辑”以保持这些修改后的设置。

有关更多信息,请参阅 http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

 

-----------------------------------------------------------------

2014/10/14 太平洋夏令时下午 3:30

针对最近公布的有关 SSL 的 POODLE 问题 (CVE-2014-3566),我们正在检查我们所有的服务。我们将在 2014 年 10 月 14 日太平洋时间下午 5:00 更新此公告

为安全起见,我们建议客户尽可能禁用 SSLv3。这包括在服务器和客户端实现上禁用 SSLv3。

使用 Elastic Load Balancing 的客户可以按照以下步骤,通过 ELB 管理控制台禁用 SSLv3,从而为其 ELB 禁用 SSLv3:
    1.选择您的负载均衡器(EC2 > 负载均衡器)。
    2.在“侦听器”选项卡中,单击“密码”列中的“更改”。
    3.确保选中“自定义安全策略”的单选按钮。
    4.在“SSL 协议”部分,取消选择“Protocol-SSLv3”。
    5.点击“保存”以将设置应用于侦听器。
    6.为每个针对各负载均衡器使用 HTTPS 或 SSL 的侦听器重复上述步骤。

有关更多信息,请参阅 http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html