07.01.2015 в 8:30 по тихоокеанскому стандартному времени – обновление –
Amazon CloudFront:
Мы отключили SSLv3 для всех клиентов, использующих SSL с именем домена CloudFront по умолчанию (*.cloudfront.net).
----------------------------------------------------------------------------------------
24.10.2014 в 19:30 по тихоокеанскому летнему времени – обновление –
Amazon CloudFront:
Сегодня мы запустили функцию, с помощью которой клиенты смогут отключать и включать SSLv3 для собственных сертификатов SSL с выделенными IP-адресами. Существующие базы раздачи, созданные перед запуском этой функции, по-прежнему дают возможность разрешать использование SSLv3 по умолчанию. Клиенты, желающие отключить SSLv3 на существующих базах раздачи с использованием собственных сертификатов SSL с выделенными IP-адресами, могут сделать это с помощью API CloudFront или Консоли управления AWS. Клиентам рекомендуется отключать SSLv3, если это не противоречит их сценариям использования. Дополнительные инструкции приведены в нашей документации.
Напоминаем, что 3 ноября 2014 г. мы начали отключать SSLv3 для ВСЕХ клиентов, использующих SSL с именем домена CloudFront по умолчанию (*.cloudfront.net).
----------------------------------------------------------------------------------------
17.10.2014 в 17:00 по тихоокеанскому летнему времени – обновление
Amazon CloudFront:
Мы хотели бы предоставить три обновления, касающиеся наших планов поддержки SSLv3 в Amazon CloudFront.
- На следующей неделе мы предоставим клиентам, использующим собственные сертификаты SSL с выделенными IP-адресами, возможность выбирать, принимать или нет подключения SSLv3
• Клиенты могут отключать или включать SSLv3 для собственных сертификатов SSL с выделенными IP-адресами с помощью параметров конфигурации в API Amazon CloudFront и Консоли управления AWS.
• Существующие базы раздачи, созданные перед запуском этой функции, по-прежнему дают возможность разрешать использование SSLv3 по умолчанию. Клиенты, желающие отключить SSLv3 на существующих базах раздачи с использованием собственных сертификатов SSL с выделенными IP-адресами, могут сделать это с помощью API CloudFront или Консоли управления AWS.
- На следующей неделе мы также завершим развертывание TLS_FALLBACK_SCSV на всех серверах в наших периферийных местоположениях CloudFront. После этого обновления клиенты, которые поддерживают также TLS_FALLBACK_SCSV, не смогут извне понизить уровень своих подключений до SSLv3.
- С 3 ноября 2014 г. мы начнем отключать SSLv3 для ВСЕХ клиентов, использующих SSL с CloudFront по умолчанию (*.cloudfront.net)
• После этого политика Amazon CloudFront будет разрешать только SSLv3 на собственных сертификатах SSL с выделенными IP-адресами
Как указано в нашем предыдущем обновлении, клиенты, использующие собственные сертификаты SSL с выделенными IP-адресами, могут немедленно запретить SSLv3, выполнив переключение на собственные сертификаты SSL только SNI. Базы раздачи собственных сертификатов SSL только SNI отклоняют все подключения SSLv3.
15.10.2014 в 15:10 по тихоокеанскому летнему времени – обновление –
Мы проверили все наши сервисы в связи с недавно объявленной проблемой POODLE, касающейся SSL (CVE-2014-3566). В качестве меры защиты мы рекомендуем всем нашим клиентам отключить SSLv3, если у них есть такая возможность. Подразумевается отключение SSLv3 и на серверах, и на клиентских машинах.
Адреса API AWS не затронуты атакой, описанной в документе POODLE. Подлинность пользователей проверяют по уникальной подписи, вычисляемой для каждого запроса, а не с помощью файлов cookie. От клиентов, использующих для доступа к адресам API пакеты SDK (AWS или другие), не требуется никаких действий.
AMI Amazon Linux:
Репозитории AMI Amazon Linux включают теперь исправления для POODLE (CVE-2014-3566), а также для других проблем с OpenSSL (CVE-2014-3513, CVE-2014-3568, CVE-2014-3567), которые были выпущены 15 октября 2014 г. Дополнительная информация приведена на веб-страницах https://alas.aws.amazon.com/ALAS-2014-426.html и https://alas.aws.amazon.com/ALAS-2014-427.html.
Amazon Elastic Load Balancing:
Все балансировщики нагрузки, созданные после 17:00 по тихоокеанскому летнему времени 14 октября 2014 г., будут использовать новую политику согласования SSL, в соответствии с которой SSLv3 больше не будет включен по умолчанию.
Клиенты, которым нужен SSLv3, могут включить его повторно, выбрав политику согласования SSL от 01.2014 или вручную настроив шифры SSL и протоколы, используемые балансировщиком нагрузки. Чтобы отключить SSLv3 через ELB Management в существующих балансировщиках нагрузки, необходимо выполнить описанные ниже шаги
Консоль:
1. Выберите свой балансировщик нагрузки (EC2 > Load Balancers).
2. На вкладке «Listeners» щелкните «Change» в столбце «Cipher».
3. Убедитесь, что выбрана опция «Predefined Security Policy».
4. В раскрывающемся списке выберите правило «ELBSecurityPolicy-2014-10».
5. Щелкните «Save», чтобы применить настройки к прослушивателю.
6. Повторите эти действия для всех прослушивателей, использующих HTTPS или SSL, в каждом балансировщике нагрузки.
Дополнительная информация приведена на веб-странице http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.
Amazon CloudFront:
Клиенты, использующие собственные сертификаты SSL с Amazon CloudFront, могут отключать SSLv3, выполняя описанные ниже шаги в консоли управления CloudFront:
1. Выберите свою базу раздачи и нажмите «Distribution Settings».
2. На вкладке «General» нажмите кнопку «Edit».
3. В разделе «Custom SSL Client Support» выберите параметр с текстом: «Only Clients that Support Server Name Indication (SNI)».
4. Нажмите «Yes, Edit», чтобы сохранить измененные настройки.
Дополнительная информация опубликована на веб-странице http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni
-----------------------------------------------------------------
14.10.2014 в 19:05 по тихоокеанскому летнему времени – обновление –
Мы проверяем все наши сервисы в связи с недавно объявленной проблемой POODLE, касающейся SSL (CVE-2014-3566). В качестве меры защиты мы рекомендуем всем нашим клиентам отключить SSLv3, если у них есть такая возможность. Подразумевается отключение SSLv3 и на серверах, и на клиентских машинах.
Эта проблема не затрагивает адреса API AWS. От клиентов, использующих для доступа к адресам API пакеты SDK (AWS или другие), не требуется никаких действий.
Мы изучаем все принадлежащие AWS сайты на предмет воздействия и обновим этот бюллетень.
AMI Amazon Linux:
Мы оцениваем проблему, и когда исправления будут доступны, мы разместим их в нашем репозитории, а также выпустим бюллетень безопасности на сайте https://alas.aws.amazon.com/
Amazon Elastic Load Balancing:
Все балансировщики нагрузки, созданные после 17:00 по тихоокеанскому летнему времени 14 октября 2014 г., будут использовать новую политику согласования SSL, в соответствии с которой SSLv3 больше не будет включен по умолчанию.
Клиенты, которым нужен SSLv3, могут включить его повторно, выбрав политику согласования SSL от 01.2014 или вручную настроив шифры SSL и протоколы, используемые балансировщиком нагрузки. Чтобы отключить SSLv3 через ELB Management в существующих балансировщиках нагрузки, необходимо выполнить описанные ниже шаги
Консоль:
1. Выберите свой балансировщик нагрузки (EC2 > Load Balancers).
2. На вкладке «Listeners» щелкните «Change» в столбце «Cipher».
3. Убедитесь, что выбрана опция «Predefined Security Policy».
4. В раскрывающемся списке выберите правило «ELBSecurityPolicy-2014-10».
5. Щелкните «Save», чтобы применить настройки к прослушивателю.
6. Повторите эти действия для всех прослушивателей, использующих HTTPS или SSL, в каждом балансировщике нагрузки.
Дополнительная информация приведена на веб-странице http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.
Amazon CloudFront:
Клиенты, использующие собственные сертификаты SSL с Amazon CloudFront, могут отключать SSLv3, выполняя описанные ниже шаги в консоли управления CloudFront:
1. Выберите свою базу раздачи и нажмите «Distribution Settings».
2. На вкладке «General» нажмите кнопку «Edit».
3. В разделе «Custom SSL Client Support» выберите параметр с текстом: «Only Clients that Support Server Name Indication (SNI)».
4. Нажмите «Yes, Edit», чтобы сохранить измененные настройки.
Дополнительная информация опубликована на веб-странице http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni
-----------------------------------------------------------------
14.10.2014 в 17:00 по тихоокеанскому летнему времени – обновление –
Мы проверяем все наши сервисы в связи с недавно объявленной проблемой POODLE, касающейся SSL (CVE-2014-3566). В качестве меры защиты мы рекомендуем всем нашим клиентам отключить SSLv3, если у них есть такая возможность. Подразумевается отключение SSLv3 и на серверах, и на клиентских машинах.
Эта проблема не затрагивает адреса API AWS. От клиентов, использующих для доступа к адресам API пакеты SDK (AWS или другие), не требуется никаких действий.
Мы изучаем все принадлежащие AWS сайты на предмет воздействия и обновим этот бюллетень до 19:00 по тихоокеанскому времени 14 октября 2014 г.
Amazon Elastic Load Balancing:
Все балансировщики нагрузки, созданные после 17:00 по тихоокеанскому летнему времени 14 октября 2014 г., будут использовать новую политику согласования SSL, в соответствии с которой SSLv3 больше не будет включен по умолчанию.
Клиенты, которым нужен SSLv3, могут включить его повторно, выбрав политику согласования SSL от 01.2014 или вручную настроив шифры SSL и протоколы, используемые балансировщиком нагрузки. Чтобы отключить SSLv3 через ELB Management в существующих балансировщиках нагрузки, необходимо выполнить описанные ниже шаги
Консоль:
1. Выберите свой балансировщик нагрузки (EC2 > Load Balancers).
2. На вкладке «Listeners» щелкните «Change» в столбце «Cipher».
3. Убедитесь, что выбрана опция «Predefined Security Policy».
4. В раскрывающемся списке выберите правило «ELBSecurityPolicy-2014-10».
5. Щелкните «Save», чтобы применить настройки к прослушивателю.
6. Повторите эти действия для всех прослушивателей, использующих HTTPS или SSL, в каждом балансировщике нагрузки.
Дополнительная информация приведена на веб-странице http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.
Amazon CloudFront:
Клиенты, использующие собственные сертификаты SSL с Amazon CloudFront, могут отключать SSLv3, выполняя описанные ниже шаги в консоли управления CloudFront:
1. Выберите свою базу раздачи и нажмите «Distribution Settings».
2. На вкладке «General» нажмите кнопку «Edit».
3. В разделе «Custom SSL Client Support» выберите параметр с текстом: «Only Clients that Support Server Name Indication (SNI)».
4. Нажмите «Yes, Edit», чтобы сохранить измененные настройки.
Дополнительная информация опубликована на веб-странице http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni
-----------------------------------------------------------------
14.10.2014 в 15:30 по тихоокеанскому летнему времени
Мы проверяем все наши сервисы в связи с недавно объявленной проблемой POODLE, касающейся SSL (CVE-2014-3566). Мы обновим этот бюллетень до 17:00 по тихоокеанскому времени 14 октября 2014 г.
В качестве меры защиты мы рекомендуем всем нашим клиентам отключить SSLv3, если у них есть такая возможность. Подразумевается отключение SSLv3 и на серверах, и на клиентских машинах.
Клиенты Elastic Load Balancing могут отключать SSLv3 в консоли управления ELB, выполняя указанные ниже шаги:
1. Выберите свой балансировщик нагрузки (EC2 > Load Balancers).
2. На вкладке «Listeners» щелкните «Change» в столбце «Cipher».
3. Убедитесь, что выбрана опция «Custom Security Policy».
4. В разделе «SSL Protocols» снимите флажок «Protocol-SSLv3».
5. Щелкните «Save», чтобы применить настройки к прослушивателю.
6. Повторите эти действия для всех прослушивателей, использующих HTTPS или SSL, в каждом балансировщике нагрузки.
Дополнительная информация приведена на веб-странице http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.