07/01/2015 – 8h30 PST (heure du Pacifique) – Mise à jour –
Amazon CloudFront :
Nous avons désactivé SSLv3 pour tous les clients qui utilisent SSL avec le nom de domaine CloudFront par défaut (*.cloudfront.net).
----------------------------------------------------------------------------------------
24/10/2014 19h30 PDT (heure du Pacifique) – Mise à jour –
Amazon CloudFront :
Nous avons lancé ce jour la fonctionnalité qui permet aux clients d'activer ou de désactiver SSLv3 pour les certificats SSL personnalisés à IP dédiée. Ainsi, les distributions existantes créées avant le lancement de cette fonctionnalité continueront d'autoriser SSLv3 par défaut. Les clients qui souhaitent désactiver SSLv3 sur des distributions existantes qui utilisent un SSL personnalisé à IP dédiée peuvent le faire à l'aide de l'API CloudFront ou d'AWS Management Console. Nous recommandons aux clients de désactiver SSLv3 si leur cas d'utilisation le permet. Consultez notre documentation pour obtenir plus d'informations sur cette procédure.
Pour rappel, le 3 novembre 2014, nous allons démarrer la désactivation de SSLv3 pour TOUS les clients qui utilisent SSL avec le nom de domaine CloudFront par défaut (*.cloudfront.net).
----------------------------------------------------------------------------------------
17/10/2014 17h00 PDT (heure du Pacifique) – Mise à jour
Amazon CloudFront :
Nous souhaitons communiquer trois mises à jour à propos de nos plans de prise en charge de SSLv3 dans Amazon CloudFront.
- La semaine prochaine, nous allons donner la possibilité aux clients qui utilisent des certificats SSL personnalisés à IP dédiée de choisir si les connexions SSLv3 sont acceptées ou non.
• Les clients peuvent activer ou désactiver SSLv3 pour les certificats SSL personnalisés à IP dédiée via des paramètres de configuration dans l'API Amazon CloudFront API et AWS Management Console.
• Les distributions existantes créées avant le lancement de cette fonctionnalité continueront d'autoriser SSLv3 par défaut. Les clients qui souhaitent désactiver SSLv3 sur des distributions existantes qui utilisent un SSL personnalisé à IP dédiée peuvent le faire à l'aide de l'API CloudFront ou d'AWS Management Console.
- La semaine prochaine, nous allons mener à bien le déploiement de TLS_FALLBACK_SCSV vers tous les serveurs de nos emplacements périphériques CloudFront. Grâce à cette mise à jour, les clients qui prennent également en charge TLS_FALLBACK_SCSV ne peuvent pas voir leurs connexions revenir à SSLv3 de façon externe.
- À compter du 3 novembre 2014, nous allons démarrer la désactivation de SSLv3 pour TOUS les clients qui utilisent SSL avec le nom de domaine CloudFront par défaut (*.cloudfront.net).
• À partir de là, la stratégie d'Amazon CloudFront consistera à n'autoriser SSLv3 que sur des certificats SSL personnalisés à IP dédiée.
Comme indiqué dans notre précédente mise à jour, les clients qui utilisent des certificats SSL personnalisés à IP dédiée peuvent immédiatement désactiver SSLv3 en basculant vers un SSL personnalisé uniquement SNI. Les distributions de certificats SSL personnalisés uniquement SNI interdisent toutes les connexions SSLv3.
15/10/2014 15h10 PDT (heure du Pacifique) – Mise à jour –
Nous avons examiné tous nos services en ce qui concerne le problème POODLE avec SSL (CVE-2014-3566) annoncé dernièrement. Comme précaution de sécurité, nous recommandons à nos clients de désactiver SSLv3 lorsqu'ils en ont la possibilité. Cela implique la désactivation de SSLv3 tant sur des implémentations serveur que client.
Les points de terminaison d'API AWS ne sont pas affectés par l'attaque décrite dans le document POODLE. Ainsi, au lieu d'utiliser des cookies pour authentifier des utilisateurs, une signature unique est traitée pour chaque requête. Aucune action n'est requise de la part des clients qui utilisent le SDK AWS ou d'autres SDK pour accéder aux points de terminaison de notre API.
AMI Amazon Linux :
Les référentiels d'AMI Amazon Linux contiennent désormais des correctifs pour POODLE (CVE-2014-3566), ainsi que pour les autres problèmes liés à OpenSSL (CVE-2014-3513, CVE-2014-3568, CVE-2014-3567) qui ont été présentés le 15 octobre 2014. Reportez-vous à https://alas.aws.amazon.com/ALAS-2014-426.html et à https://alas.aws.amazon.com/ALAS-2014-427.html pour de plus amples informations.
Amazon Elastic Load Balancing :
Tous les équilibreurs de charge créés après le 14 octobre 2014 17h00 PDT (heure du Pacifique) utiliseront une nouvelle stratégie de négociation SSL qui, par défaut, n'acceptera plus SSLv3.
Ainsi, les clients qui ont besoin de SSLv3 peuvent le réactiver en sélectionnant la stratégie de négociation SSL de janvier 2014 ou en configurant manuellement les protocoles et les chiffrements SSL utilisés par l'équilibreur de charge. En ce qui concerne les équilibreurs de charge existants, veuillez vous rapporter à la procédure ci-dessous pour désactiver SSLv3 via l'ELB Management
Console :
1. Sélectionnez votre équilibreur de charge (EC2 > Équilibreurs de charge).
2. Dans l'onglet Écouteurs, cliquez sur « Modifier » dans la colonne Chiffrer.
3. Assurez-vous que le bouton de radio pour « Stratégie de sécurité prédéfinie » est sélectionné.
4. Dans le menu déroulant, sélectionnez la politique « ELBSecurityPolicy-2014-10 ».
5. Cliquez sur « Enregistrer » pour appliquer les paramètres à l'écouteur.
6. Répétez ces étapes pour chaque écouteur qui utilise HTTPS ou SSL pour chaque équilibreur de charge.
Pour plus d'informations, veuillez consulter http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.
Amazon CloudFront :
Les clients qui utilisent des certificats SSL personnalisés avec Amazon CloudFront peuvent désactiver SSLv3 en procédant comme suit dans la CloudFront Management Console :
1. Sélectionnez votre distribution, puis cliquez sur « Paramètres de distribution ».
2. Cliquez sur le bouton « Modifier » de l'onglet « Général ».
3. Dans la section « Prise en charge d'un client SSL personnalisé », sélectionnez l'option qui indique : « Seuls les clients qui prennent en charge Server Name Indication (SNI) ».
4. Cliquez sur « Oui, modifier » pour enregistrer les paramètres révisés.
Pour de plus amples informations, veuillez consulter http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni.
-----------------------------------------------------------------
14/10/2014 19h05 PDT (heure du Pacifique) – Mise à jour –
Nous sommes en cours d'examen de tous nos services en ce qui concerne le problème POODLE avec SSL (CVE-2014-3566) annoncé dernièrement. Comme précaution de sécurité, nous recommandons à nos clients de désactiver SSLv3 lorsqu'ils en ont la possibilité. Cela implique la désactivation de SSLv3 tant sur des implémentations serveur que client.
Les points de terminaison d'API AWS ne sont pas affectés par ce problème et aucune action n'est requise de la part des clients qui utilisent le SDK AWS ou d'autres SDK pour accéder aux points de terminaison de notre API.
Nous analysons tous les sites appartenant à AWS afin de déterminer leur éventuelle exposition et nous mettrons ce bulletin à jour.
AMI Amazon Linux :
Nous évaluons le problème et, lorsque des correctifs seront disponibles, nous les placerons dans notre référentiel et nous publierons un bulletin de sécurité à l'adresse https://alas.aws.amazon.com/.
Amazon Elastic Load Balancing :
Tous les équilibreurs de charge créés après le 14 octobre 2014 17h00 PDT (heure du Pacifique) utiliseront une nouvelle stratégie de négociation SSL qui, par défaut, n'acceptera plus SSLv3.
Ainsi, les clients qui ont besoin de SSLv3 peuvent le réactiver en sélectionnant la stratégie de négociation SSL de janvier 2014 ou en configurant manuellement les protocoles et les chiffrements SSL utilisés par l'équilibreur de charge. En ce qui concerne les équilibreurs de charge existants, veuillez vous rapporter à la procédure ci-dessous pour désactiver SSLv3 via l'ELB Management
Console :
1. Sélectionnez votre équilibreur de charge (EC2 > Équilibreurs de charge).
2. Dans l'onglet Écouteurs, cliquez sur « Modifier » dans la colonne Chiffrer.
3. Assurez-vous que le bouton de radio pour « Stratégie de sécurité prédéfinie » est sélectionné.
4. Dans le menu déroulant, sélectionnez la politique « ELBSecurityPolicy-2014-10 ».
5. Cliquez sur « Enregistrer » pour appliquer les paramètres à l'écouteur.
6. Répétez ces étapes pour chaque écouteur qui utilise HTTPS ou SSL pour chaque équilibreur de charge.
Pour plus d'informations, veuillez consulter http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.
Amazon CloudFront :
Les clients qui utilisent des certificats SSL personnalisés avec Amazon CloudFront peuvent désactiver SSLv3 en procédant comme suit dans la CloudFront Management Console :
1. Sélectionnez votre distribution, puis cliquez sur « Paramètres de distribution ».
2. Cliquez sur le bouton « Modifier » de l'onglet « Général ».
3. Dans la section « Prise en charge d'un client SSL personnalisé », sélectionnez l'option qui indique : « Seuls les clients qui prennent en charge Server Name Indication (SNI) ».
4. Cliquez sur « Oui, modifier » pour enregistrer les paramètres révisés.
Pour de plus amples informations, veuillez consulter http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni.
-----------------------------------------------------------------
14/10/2014 17h00 PDT (heure du Pacifique) – Mise à jour –
Nous sommes en cours d'examen de tous nos services en ce qui concerne le problème POODLE avec SSL (CVE-2014-3566) annoncé dernièrement. Comme précaution de sécurité, nous recommandons à nos clients de désactiver SSLv3 lorsqu'ils en ont la possibilité. Cela implique la désactivation de SSLv3 tant sur des implémentations serveur que client.
Les points de terminaison d'API AWS ne sont pas affectés par ce problème et aucune action n'est requise de la part des clients qui utilisent le SDK AWS ou d'autres SDK pour accéder aux points de terminaison de notre API.
Nous analysons tous les sites appartenant à AWS afin de déterminer leur éventuelle exposition et nous mettrons ce bulletin à jour avant le 14 octobre 2014 19h00 (heure du Pacifique).
Amazon Elastic Load Balancing :
Tous les équilibreurs de charge créés après le 14 octobre 2014 17h00 PDT (heure du Pacifique) utiliseront une nouvelle stratégie de négociation SSL qui, par défaut, n'acceptera plus SSLv3.
Ainsi, les clients qui ont besoin de SSLv3 peuvent le réactiver en sélectionnant la stratégie de négociation SSL de janvier 2014 ou en configurant manuellement les protocoles et les chiffrements SSL utilisés par l'équilibreur de charge. En ce qui concerne les équilibreurs de charge existants, veuillez vous rapporter à la procédure ci-dessous pour désactiver SSLv3 via l'ELB Management
Console :
1. Sélectionnez votre équilibreur de charge (EC2 > Équilibreurs de charge).
2. Dans l'onglet Écouteurs, cliquez sur « Modifier » dans la colonne Chiffrer.
3. Assurez-vous que le bouton de radio pour « Stratégie de sécurité prédéfinie » est sélectionné.
4. Dans le menu déroulant, sélectionnez la politique « ELBSecurityPolicy-2014-10 ».
5. Cliquez sur « Enregistrer » pour appliquer les paramètres à l'écouteur.
6. Répétez ces étapes pour chaque écouteur qui utilise HTTPS ou SSL pour chaque équilibreur de charge.
Pour plus d'informations, veuillez consulter http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.
Amazon CloudFront :
Les clients qui utilisent des certificats SSL personnalisés avec Amazon CloudFront peuvent désactiver SSLv3 en procédant comme suit dans la CloudFront Management Console :
1. Sélectionnez votre distribution, puis cliquez sur « Paramètres de distribution ».
2. Cliquez sur le bouton « Modifier » de l'onglet « Général ».
3. Dans la section « Prise en charge d'un client SSL personnalisé », sélectionnez l'option qui indique : « Seuls les clients qui prennent en charge Server Name Indication (SNI) ».
4. Cliquez sur « Oui, modifier » pour enregistrer les paramètres révisés.
Pour de plus amples informations, veuillez consulter http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni.
-----------------------------------------------------------------
14/10/2014 15h30 PDT (heure du Pacifique)
Nous sommes en cours d'examen de tous nos services en ce qui concerne le problème POODLE avec SSL (CVE-2014-3566) annoncé dernièrement. Nous allons mettre ce bulletin à jour avant le 14 octobre 2014 17h00 (heure du Pacifique).
Comme recommandation de sécurité, nous conseillons à nos clients de désactiver SSLv3 lorsqu'ils en ont la possibilité. Cela implique la désactivation de SSLv3 tant sur des implémentations serveur que client.
Les utilisateurs d'Elastic Load Balancing peuvent désactiver SSLv3 pour leur ELB via l'ELB Management Console en procédant comme suit :
1. Sélectionnez votre équilibreur de charge (EC2 > Équilibreurs de charge).
2. Dans l'onglet Écouteurs, cliquez sur « Modifier » dans la colonne Chiffrer.
3. Assurez-vous que le bouton de radio pour « Stratégie de sécurité personnalisée » est sélectionné.
4. Dans la section « Protocoles SSL », décochez « Protocole-SSLv3 ».
5. Cliquez sur « Enregistrer » pour appliquer les paramètres à l'écouteur.
6. Répétez ces étapes pour chaque écouteur qui utilise HTTPS ou SSL pour chaque équilibreur de charge.
Pour plus d'informations, veuillez consulter http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.