Actualización: 07/01/2015, 8:30 h PST
Amazon CloudFront:
Hemos deshabilitado SSLv3 para todos los clientes que utilizan SSL con el nombre de dominio de CloudFront predeterminado (*.cloudfront.net).
----------------------------------------------------------------------------------------
Actualización: 24/10/2014, 19:30 h PDT
Amazon CloudFront:
Hoy lanzamos la característica que permite a los clientes habilitar o deshabilitar SSLv3 para los certificados SSL personalizados con IP dedicada. Las distribuciones existentes creadas con anterioridad al lanzamiento de esta característica continuarán permitiendo SSLv3 de forma predeterminada. Los clientes que deseen deshabilitar SSLv3 en las distribuciones existentes que utilicen certificados SSL personalizados con IP dedicada pueden hacerlo a través de la API de CloudFront o la consola de administración de AWS. Recomendamos a los clientes que deshabiliten SSLv3 si su caso de uso se los permite. Puede obtener más información acerca de cómo deshabilitar SSLv3 en nuestra documentación.
Le recordamos que el 3 de noviembre de 2014 comenzaremos a deshabilitar SSLv3 para TODOS los clientes que utilicen SSL con el nombre de dominio de CloudFront predeterminado (*.cloudfront.net).
----------------------------------------------------------------------------------------
Actualización: 17/10/2014, 17:00 h PDT
Amazon CloudFront:
Nos gustaría ofrecer tres actualizaciones en relación con nuestros planes de compatibilidad de SSLv3 con Amazon CloudFront.
- La próxima semana, agregaremos la posibilidad de que los clientes que utilicen certificados SSL personalizados con IP dedicada puedan elegir si aceptan las conexiones SSLv3.
• Los clientes pueden habilitar o deshabilitar SSLv3 para los certificados SSL personalizados con IP dedicada a través de los parámetros de configuración de la API de Amazon CloudFront y de la consola de administración de AWS.
• Las distribuciones existentes creadas con anterioridad al lanzamiento de esta característica continuarán permitiendo SSLv3 de forma predeterminada. Los clientes que deseen deshabilitar SSLv3 en las distribuciones existentes que utilicen certificados SSL personalizados con IP dedicada pueden hacerlo a través de la API de CloudFront o la consola de administración de AWS.
- La semana próxima, también completaremos la implementación de TLS_FALLBACK_SCSV en todos los servidores de nuestras ubicaciones de borde de CloudFront. Con esta actualización, los clientes que también admitan TLS_FALLBACK_SCSV no podrán bajar de forma externa sus conexiones a SSLv3.
- A partir del 3 de noviembre de 2014, comenzaremos a deshabilitar SSLv3 para TODOS los clientes que utilicen SSL con el nombre de dominio de CloudFront predeterminado (*.cloudfront.net).
• Luego de este punto, la política de Amazon CloudFront será solo permitir SSLv3 en los certificados SSL personalizados con IP dedicada.
Como se indica en nuestra actualización anterior, los clientes que utilicen certificados SSL personalizados con IP dedicada pueden deshabilitar SSLv3 inmediatamente cambiando a los certificados SSL personalizados con SNI únicamente. Las distribuciones SSL personalizadas con SNI únicamente deniegan todas las conexiones SSLv3.
Actualización: 15/10/2014, 15:10 h PDT
Hemos revisado todos nuestros servicios en relación con el recientemente anunciado problema POODLE con SSL (CVE-2014-3566). Como precaución de seguridad, recomendamos a nuestros clientes que deshabiliten SSLv3 cuando les sea posible hacerlo. Esto incluye deshabilitar SSLv3 en las implementaciones del cliente y del servidor.
Los puntos de enlace de la API de AWS no se ven afectados por el ataque que se describe en el documento POODLE. En lugar de utilizar cookies para autenticar a los usuarios, se computa una firma única para cada solicitud. Los clientes que utilizan el SDK de AWS u otro SDK para acceder a los puntos de enlace de nuestra API no deben realizar ninguna acción.
AMI de Amazon Linux:
Los repositorios de la AMI de Amazon Linux ahora incluyen parches para POODLE (CVE-2014-3566) y para los problemas adicionales de OpenSSL (CVE-2014-3513, CVE-2014-3568, CVE-2014-3567), lanzados el 15/10/2014. Para obtener información adicional, consulte https://alas.aws.amazon.com/ALAS-2014-426.html y https://alas.aws.amazon.com/ALAS-2014-427.html.
Amazon Elastic Load Balancing:
Todos los balanceadores de carga creados con posterioridad al 14/10/2014, 17:00 h PDT utilizarán una nueva política de negociación de SSL que, de forma predeterminada, ya no habilitará SSLv3.
Los clientes que necesiten SSLv3 pueden volver a habilitarlo seleccionando la política de negociación SSL 2014-01 o configurando manualmente los cifrados y protocolos SSL que utiliza el balanceador de carga. Para los balanceadores de carga existentes, siga los pasos que se indican a continuación a fin de deshabilitar SSLv3 a través de la administración de Elastic Load Balancing (ELB).
Consola:
1. Seleccione su balanceador de carga (EC2 > Balanceadores de carga).
2. Vaya a la pestaña Listeners (Agentes de escucha) y, en la columna Cipher (Cifrado), haga clic en “Change” (Cambiar).
3. Asegúrese de seleccionar el botón de opción “Predefined Security Policy” (Política de seguridad predefinida).
4. En el menú desplegable, seleccione la política “ELBSecurityPolicy-2014-10”.
5. Haga clic en “Save” (Guardar) para aplicar la configuración en los agentes de escucha.
6. Repita estos pasos para cada agente de escucha que utilice HTTPS o SSL en cada balanceador de carga.
Para obtener más información, consulte http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.
Amazon CloudFront:
Los clientes que utilicen los certificados SSL personalizados con Amazon CloudFront pueden deshabilitar SSLv3 en la consola de administración de CloudFront siguiendo los pasos que se indican a continuación:
1. Seleccione su distribución y haga clic en “Distribution Settings” (Configuración de distribución).
2. Vaya a la pestaña “General” (General) y haga clic en el botón “Edit” (Editar).
3. En la sección “Custom SSL Client Support” (Compatibilidad del cliente de SSL personalizado), seleccione la opción “Only Clients that Support Server Name Indication (SNI)” (Solo para clientes compatibles con la indicación del nombre de servidor [SNI]).
4. Haga clic en “Yes, Edit” (Sí, editar) para guardar esta configuración modificada.
Para obtener más información, consulte http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni.
-----------------------------------------------------------------
Actualización: 14/10/2014, 19:05 h PDT
Estamos revisando todos nuestros servicios en relación con el recientemente anunciado problema POODLE con SSL (CVE-2014-3566). Como precaución de seguridad, recomendamos a nuestros clientes que deshabiliten SSLv3 cuando les sea posible hacerlo. Esto incluye deshabilitar SSLv3 en las implementaciones del cliente y del servidor.
Los puntos de enlace de la API de AWS no se ven afectados por este problema, por lo que no es necesario que los clientes que utilizan el SDK de AWS u otro SDK para acceder a los puntos de enlace de nuestra API efectúen acción alguna.
Estamos examinando todos los sitios web que pertenecen a AWS por si ha habido alguna exposición y actualizaremos este boletín.
AMI de Amazon Linux:
Estamos evaluando este problema y, cuando los parches estén disponibles, los incluiremos en nuestro repositorio y emitiremos un boletín de seguridad en https://alas.aws.amazon.com/
Amazon Elastic Load Balancing:
Todos los balanceadores de carga creados con posterioridad al 14/10/2014, 17:00 h PDT utilizarán una nueva política de negociación de SSL que, de forma predeterminada, ya no habilitará SSLv3.
Los clientes que necesiten SSLv3 pueden volver a habilitarlo seleccionando la política de negociación SSL 2014-01 o configurando manualmente los cifrados y protocolos SSL que utiliza el balanceador de carga. Para los balanceadores de carga existentes, siga los pasos que se indican a continuación a fin de deshabilitar SSLv3 a través de la administración de Elastic Load Balancing (ELB).
Consola:
1. Seleccione su balanceador de carga (EC2 > Balanceadores de carga).
2. Vaya a la pestaña Listeners (Agentes de escucha) y, en la columna Cipher (Cifrado), haga clic en “Change” (Cambiar).
3. Asegúrese de seleccionar el botón de opción “Predefined Security Policy” (Política de seguridad predefinida).
4. En el menú desplegable, seleccione la política “ELBSecurityPolicy-2014-10”.
5. Haga clic en “Save” (Guardar) para aplicar la configuración en los agentes de escucha.
6. Repita estos pasos para cada agente de escucha que utilice HTTPS o SSL en cada balanceador de carga.
Para obtener más información, consulte http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.
Amazon CloudFront:
Los clientes que utilicen los certificados SSL personalizados con Amazon CloudFront pueden deshabilitar SSLv3 en la consola de administración de CloudFront siguiendo los pasos que se indican a continuación:
1. Seleccione su distribución y haga clic en “Distribution Settings” (Configuración de distribución).
2. Vaya a la pestaña “General” (General) y haga clic en el botón “Edit” (Editar).
3. En la sección “Custom SSL Client Support” (Compatibilidad del cliente de SSL personalizado), seleccione la opción “Only Clients that Support Server Name Indication (SNI)” (Solo para clientes compatibles con la indicación del nombre de servidor [SNI]).
4. Haga clic en “Yes, Edit” (Sí, editar) para guardar esta configuración modificada.
Para obtener más información, consulte http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni.
-----------------------------------------------------------------
Actualización: 14/10/2014, 17:00 h PDT
Estamos revisando todos nuestros servicios en relación con el recientemente anunciado problema POODLE con SSL (CVE-2014-3566). Como precaución de seguridad, recomendamos a nuestros clientes que deshabiliten SSLv3 cuando les sea posible hacerlo. Esto incluye deshabilitar SSLv3 en las implementaciones del cliente y del servidor.
Los puntos de enlace de la API de AWS no se ven afectados por este problema, por lo que no es necesario que los clientes que utilizan el SDK de AWS u otro SDK para acceder a los puntos de enlace de nuestra API efectúen acción alguna.
Estamos examinando todos los sitios web que pertenecen a AWS por si ha habido alguna exposición, y actualizaremos este boletín antes de las 19:00 h. hora del Pacífico, del día 14 de octubre de 2014.
Amazon Elastic Load Balancing:
Todos los balanceadores de carga creados con posterioridad al 14/10/2014, 17:00 h PDT utilizarán una nueva política de negociación de SSL que, de forma predeterminada, ya no habilitará SSLv3.
Los clientes que necesiten SSLv3 pueden volver a habilitarlo seleccionando la política de negociación SSL 2014-01 o configurando manualmente los cifrados y protocolos SSL que utiliza el balanceador de carga. Para los balanceadores de carga existentes, siga los pasos que se indican a continuación a fin de deshabilitar SSLv3 a través de la administración de Elastic Load Balancing (ELB).
Consola:
1. Seleccione su balanceador de carga (EC2 > Balanceadores de carga).
2. Vaya a la pestaña Listeners (Agentes de escucha) y, en la columna Cipher (Cifrado), haga clic en “Change” (Cambiar).
3. Asegúrese de seleccionar el botón de opción “Predefined Security Policy” (Política de seguridad predefinida).
4. En el menú desplegable, seleccione la política “ELBSecurityPolicy-2014-10”.
5. Haga clic en “Save” (Guardar) para aplicar la configuración en los agentes de escucha.
6. Repita estos pasos para cada agente de escucha que utilice HTTPS o SSL en cada balanceador de carga.
Para obtener más información, consulte http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.
Amazon CloudFront:
Los clientes que utilicen los certificados SSL personalizados con Amazon CloudFront pueden deshabilitar SSLv3 en la consola de administración de CloudFront siguiendo los pasos que se indican a continuación:
1. Seleccione su distribución y haga clic en “Distribution Settings” (Configuración de distribución).
2. Vaya a la pestaña “General” (General) y haga clic en el botón “Edit” (Editar).
3. En la sección “Custom SSL Client Support” (Compatibilidad del cliente de SSL personalizado), seleccione la opción “Only Clients that Support Server Name Indication (SNI)” (Solo para clientes compatibles con la indicación del nombre de servidor [SNI]).
4. Haga clic en “Yes, Edit” (Sí, editar) para guardar esta configuración modificada.
Para obtener más información, consulte http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni.
-----------------------------------------------------------------
14/10/2014, 15:30 h PDT
Estamos revisando todos nuestros servicios en relación con el recientemente anunciado problema POODLE con SSL (CVE-2014-3566). Actualizaremos este boletín antes de las 17:00 h hora del Pacífico del día 14 de octubre de 2014.
Como recomendación de seguridad, sugerimos a nuestros clientes que deshabiliten SSLv3 cuando les sea posible hacerlo. Esto incluye deshabilitar SSLv3 en las implementaciones del cliente y del servidor.
Los clientes de Elastic Load Balancing pueden deshabilitar SSLv3 para sus ELB a través de la consola de administración de ELB siguiendo los pasos que se indican a continuación:
1. Seleccione su balanceador de carga (EC2 > Balanceadores de carga).
2. Vaya a la pestaña Listeners (Agentes de escucha) y, en la columna Cipher (Cifrado), haga clic en “Change” (Cambiar).
3. Asegúrese de seleccionar el botón de opción “Custom Security Policy” (Política de seguridad personalizada).
4. En la sección “SSL Protocols” (Protocolos SSL), desactive “Protocol-SSLv3” (Protocolo SSLv3).
5. Haga clic en “Save” (Guardar) para aplicar la configuración en los agentes de escucha.
6. Repita estos pasos para cada agente de escucha que utilice HTTPS o SSL en cada balanceador de carga.
Para obtener más información, consulte http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.