2015/01/07 上午 8:30 PST - 更新 -

Amazon CloudFront:

我們已針對以預設 CloudFront 網域名稱 (*.cloudfront.net) 使用 SSL 的所有客戶停用 SSLv3。

 

----------------------------------------------------------------------------------------

 

2014/10/24 晚上 7:30 PDT - 更新 -

Amazon CloudFront:

今天,我們推出的功能可讓客戶針對專用 IP 自訂 SSL 憑證停用或啟用 SSLv3。推出此功能之前建立的現有分發預設將繼續允許 SSLv3;想要在使用專用 IP 自訂 SSL 的現有分發上停用 SSLv3 的客戶可以使用 CloudFront API 或 AWS 管理主控台執行此操作。我們建議客戶停用 SSLv3 (如果他們的使用案例允許)。更多有關如何執行此操作的資訊,請參閱我們的文件

作為提醒,在 2014 年 11 月 3 日,我們將針對以預設 CloudFront 網域名稱 (*.cloudfront.net) 使用 SSL 的所有客戶停用 SSLv3。

 

----------------------------------------------------------------------------------------

 

2014/10/17 下午 5:00 PDT - 更新

 

Amazon CloudFront:

我們想要提供三條有關我們在 Amazon CloudFront 中支援 SSLv3 的計劃。

  1. 下週,我們將為使用專用 IP 自訂 SSL 憑證的客戶新增選擇是否接受 SSLv3 連線的能力

    • 客戶可以在 Amazon CloudFront API 和 AWS 管理主控台中透過組態參數,針對專用 IP 自訂 SSL 憑證停用或啟用 SSLv3。

    • 推出此功能之前建立的現有分發預設將繼續允許 SSLv3;想要在使用專用 IP 自訂 SSL 的現有分發上停用 SSLv3 的客戶可以使用 CloudFront API 或 AWS 管理主控台執行此操作。
  2. 下週,我們還將在 CloudFront 節點完成所有伺服器的 TLS_FALLBACK_SCSV 部署。藉由此更新,同樣支援 TLS_FALLBACK_SCSV 的客戶無法將外部連線降級至 SSLv3。
  3. 自 2014 年 11 月 3 日起,我們將針對使用預設 CloudFront (*.cloudfront.net) 利用 SSL 的所有客戶停用 SSLv3

    • 此時間點之後,Amazon CloudFront 政策將僅在專用 IP 自訂 SSL 憑證上允許 SSLv3


如同我們先前的更新中所示,使用專用 IP 自訂 SSL 憑證的客戶可以透過切換至僅 SNI 自訂 SSL,立即禁止 SSLv3。僅 SNI 自訂 SSL 分發拒絕所有 SSLv3 連線。

 

2014/10/15 下午 3:10 PDT - 更新 -

我們已參照近期公佈的 SSL 的 POODLE 問題 (CVE-2014-3566) 檢閱我們的所有服務。作為安全預防措施,我們建議客戶在可能的情況下停用 SSLv3。這包括在伺服器和用戶端實作上停用 SSLv3。

AWS API 端點未受 POODLE 文件中所述的攻擊的影響。不是使用 Cookie 驗證使用者,而是針對每個請求計算獨特的簽名。使用 AWS 開發套件或其他開發套件的客戶無需執行任何動作來存取 API 端點。


Amazon Linux AMI:
Amazon Linux AMI 儲存庫現在包含 POODLE (CVE-2014-3566) 以及 2014 年 10 月 15 日發佈的其他 OpenSSL 問題 (CVE-2014-3513、CVE-2014-3568、CVE-2014-3567) 的修補程式。如需其他資訊,請參閱 https://alas.aws.amazon.com/ALAS-2014-426.htmlhttps://alas.aws.amazon.com/ALAS-2014-427.html

 

Amazon Elastic Load Balancing:
10/14/2014 下午 5:00 PDT 建立的所有負載平衡器將使用新 SSL 交涉政策,該政策預設將不再啟用 SSLv3。
需要 SSLv3 的客戶可以透過選取 2014-01 SSL 交涉政策或手動設定負載平衡器所用的 SSL 加密和通訊協定,來重新啟用。針對現有的負載平衡器,請遵循以下步驟透過 ELB Management 停用 SSLv3
主控台:
    1.選取負載平衡器 (EC2 > 負載均衡器)。
    2.在「接聽程式」標籤中,按一下「密碼」欄中的「變更」。
    3.確保選中「預先定義的安全政策」單選按鈕
    4.在下拉式清單中,選取「ELBSecurityPolicy-2014-10」政策。
    5.按一下「儲存」將設定套用於接聽程式。
    6.針對每個負載平衡器,對使用 HTTPS 或 SSL 的每個接聽程式重複這些步驟。

如需更多資訊,請參閱 http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

 

Amazon CloudFront:
搭配使用 Custom SSL 憑證與 Amazon CloudFront 的客戶可透過在 CloudFront 管理主控台中遵循以下步驟來停用 SSLv3:
    1.選取您的分發,按一下「分發設定」。
    2.按一下「一般」標籤中的「編輯」按鈕。
    3.在「自訂 SSL 用戶端支援」區段中,選取「僅限支援伺服器名稱指示 (SNI) 的用戶端」選項
    4.按一下「是,編輯」儲存這些修訂的設定。

如需更多資訊,請參閱 http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

-----------------------------------------------------------------

2014/10/14 晚上 7:05 PDT - 更新 -

我們正在參照近期公佈的 SSL 的 POODLE 問題 (CVE-2014-3566) 檢閱我們的所有服務。作為安全預防措施,我們建議客戶在可能的情況下停用 SSLv3。這包括在伺服器和用戶端實作上停用 SSLv3。

AWS API 端點未受此問題的影響,且使用 AWS 開發套件或其他開發套件的客戶無需執行任何動作來存取 API 端點。

我們正在檢查所有 AWS·擁有的網站是否有暴露,而且我們將更新此佈告欄。

 

Amazon Linux AMI:

我們正在評估問題,且在修補程式可用時,我們會將其置於儲存庫並在 https://alas.aws.amazon.com/ 發出安全佈告欄

Amazon Elastic Load Balancing:
10/14/2014 下午 5:00 PDT 建立的所有負載平衡器將使用新 SSL 交涉政策,該政策預設將不再啟用 SSLv3。

需要 SSLv3 的客戶可以透過選取 2014-01 SSL 交涉政策或手動設定負載平衡器所用的 SSL 加密和通訊協定,來重新啟用。針對現有的負載平衡器,請遵循以下步驟透過 ELB Management 停用 SSLv3
主控台:
    1.選取負載平衡器 (EC2 > 負載均衡器)。
    2.在「接聽程式」標籤中,按一下「密碼」欄中的「變更」。
    3.確保選中「預先定義的安全政策」單選按鈕
    4.在下拉式清單中,選取「ELBSecurityPolicy-2014-10」政策。
    5.按一下「儲存」將設定套用於接聽程式。
    6.針對每個負載平衡器,對使用 HTTPS 或 SSL 的每個接聽程式重複這些步驟。

如需更多資訊,請參閱 http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

Amazon CloudFront:
搭配使用 Custom SSL 憑證與 Amazon CloudFront 的客戶可透過在 CloudFront 管理主控台中遵循以下步驟來停用 SSLv3:
    1.選取您的分發,按一下「分發設定」。
    2.按一下「一般」標籤中的「編輯」按鈕。
    3.在「自訂 SSL 用戶端支援」區段中,選取「僅限支援伺服器名稱指示 (SNI) 的用戶端」選項
    4.按一下「是,編輯」儲存這些修訂的設定。

如需更多資訊,請參閱 http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

-----------------------------------------------------------------

2014/10/14 下午 5:00 PDT - 更新 -

我們正在參照近期公佈的 SSL 的 POODLE 問題 (CVE-2014-3566) 檢閱我們的所有服務。作為安全預防措施,我們建議客戶在可能的情況下停用 SSLv3。這包括在伺服器和用戶端實作上停用 SSLv3。

AWS API 端點未受此問題的影響,且使用 AWS 開發套件或其他開發套件的客戶無需執行任何動作來存取 API 端點。

我們正在檢查所有 AWS·擁有的網站是否有暴露,我們將在太平洋時間 2014 年 10 月 14 日晚上 7:00 更新此佈告欄。

 

Amazon Elastic Load Balancing:
10/14/2014 下午 5:00 PDT 建立的所有負載平衡器將使用新 SSL 交涉政策,該政策預設將不再啟用 SSLv3。

需要 SSLv3 的客戶可以透過選取 2014-01 SSL 交涉政策或手動設定負載平衡器所用的 SSL 加密和通訊協定,來重新啟用。針對現有的負載平衡器,請遵循以下步驟透過 ELB Management 停用 SSLv3
主控台:
    1.選取負載平衡器 (EC2 > 負載均衡器)。
    2.在「接聽程式」標籤中,按一下「密碼」欄中的「變更」。
    3.確保選中「預先定義的安全政策」單選按鈕
    4.在下拉式清單中,選取「ELBSecurityPolicy-2014-10」政策。
    5.按一下「儲存」將設定套用於接聽程式。
    6.針對每個負載平衡器,對使用 HTTPS 或 SSL 的每個接聽程式重複這些步驟。

如需更多資訊,請參閱 http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

 

Amazon CloudFront:
搭配使用 Custom SSL 憑證與 Amazon CloudFront 的客戶可透過在 CloudFront 管理主控台中遵循以下步驟來停用 SSLv3:
    1.選取您的分發,按一下「分發設定」。
    2.按一下「一般」標籤中的「編輯」按鈕。
    3.在「自訂 SSL 用戶端支援」區段中,選取「僅限支援伺服器名稱指示 (SNI) 的用戶端」選項
    4.按一下「是,編輯」儲存這些修訂的設定。

如需更多資訊,請參閱 http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

 

-----------------------------------------------------------------

2014/10/14 下午 3:30 PDT

我們正在參照近期公佈的 SSL 的 POODLE 問題 (CVE-2014-3566) 檢閱我們的所有服務。我們將在太平洋時間 2014 年 10 月 14 日下午 5:00 更新此佈告欄。

作為安全建議,我們建議客戶在可能的情況下停用 SSLv3。這包括在伺服器和用戶端實作上停用 SSLv3。

Elastic Load Balancing 的客戶可以為其 ELB 停用 SSLv3,方法是遵循以下步驟透過 ELB 管理主控台停用 SSLv3:
    1.選取負載平衡器 (EC2 > 負載均衡器)。
    2.在「接聽程式」標籤中,按一下「密碼」欄中的「變更」。
    3.確保選中「自訂安全政策」單選按鈕
    4.在「SSL 通訊協定」區段,取消核取「Protocol-SSLv3」。
    5.按一下「儲存」將設定套用於接聽程式。
    6.針對每個負載平衡器,對使用 HTTPS 或 SSL 的每個接聽程式重複這些步驟。

如需更多資訊,請參閱 http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html