POODLE (CVE-2014-3566)に関するCloudFrontの仕様変更

2014.10.21

こんにちは、三井田です。

先日、POODLE脆弱性に対する記事を公開しました。
この記事では、前回調査中としていたAmazon CloudFrontについてのアップデートを紹介します。

CloudFrontについては、SSLv3の扱いに関する仕様(ポリシー)の変更が予定されているため、別記事として、AWSのセキュリティアドバイザリ (CVE-2014-3566 Advisory)の内容に基づいて、紹介したいと思います。

この情報は、記事執筆時(2014/10/21 13:00時点)で確認できる情報であり、今後変更になる可能性もあるので、AWSのセキュリティアドバイザリはこまめにチェックしましょう。

セキュリティアドバイザリを見てみる

原文

現時点でセキュリティアドバイザリに公開されている内容の原文(日本時間 2014/10/18 9:00 AM時点)を、そのまま引用して紹介します。

2014/10/17 5:00 PM PDT - Update

Amazon CloudFront:

We'd like to provide three updates regarding our plans for support of SSLv3 in Amazon CloudFront.

  1. Next week, we will add the ability for customers who use Dedicated IP Custom SSL Certificates to choose whether SSLv3 connections are accepted

    • Customers can disable or enable SSLv3 for Dedicated IP Custom SSL Certificates via configuration parameters in the Amazon CloudFront API and AWS Management Console.

    • Existing distributions created before the launch of this feature will continue to allow SSLv3 by default; customers who want to disable SSLv3 on existing distributions that use Dedicated IP custom SSL can do so using the CloudFront API or AWS Management Console.

  2. Next week, we will also complete deployment of TLSFALLBACKSCSV to all the servers in our CloudFront edge locations. With this update, clients that also support TLSFALLBACKSCSV cannot have their connections externally downgraded to SSLv3.

  3. Starting on November 3rd, 2014, we will begin disabling SSLv3 for ALL customers who utilize SSL using the default CloudFront (*.cloudfront.net)

    • After this point, it will be Amazon CloudFront policy to only allow SSLv3 on Dedicated IP Custom SSL certificates

    • If you believe that this policy will negatively impact your use case, please contact us as soon as possible so that we can discuss your options.

As indicated in our previous update, customers who use Dedicated IP Custom SSL Certificates can immediately disallow SSLv3 by switching to SNI-Only Custom SSL. SNI-Only Custom SSL distributions deny all SSLv3 connections.

大きく分けて3つの変更が記載されてます。それぞれを見てみましょう。

「専用IP 独自SSL」におけるSSLv3の扱い

今週(2014/10/20の週)、「専用IP 独自SSL」で、SSLv3の有効・無効を制御するパラメータ機能が用意される予定です。

セキュリティアドバイザリ公開時は、「『SNI 独自SSL』に変更することで対策」、としか発表されてませんでしたが、この機能がリリースされると、「専用IP 独自SSL」のままSSLv3の「無効」を利用できるようになる模様です。

既存の「専用IP 独自SSL」CloudFrontディストリビューションは、SSLv3が「有効」になってますが、「無効」に変更することが出来るようになります。

(機能がリリースされたら、画面キャプチャなどを追加していきます)

エッジロケーションの「TLS_FALLBACK_SCSV」対応完了見込み

今週中(2014/10/20の週)に、全エッジロケーションのCloudFrontサーバへ、「TLS_FALLBACK_SCSV」の適用が完了する見込みとのことです。

CloudFrontのSSLv3に対するポリシー変更

2014/11/03以降、全お客様を対象に、デフォルトで提供されている共用SSL(*.cloudfront.net)のSSLv3サポートを無効化する予定とのことです。

11/03以降は、CloudFrontの運用ポリシーとしてSSLv3が利用できるのは「専用IP 独自SSL」のみとなります

また、この変更で悪影響を受けそうな場合は、専用のコンタクトフォームからAWSに申し出ることが可能とのことです。
(弊社メンバーズサービスをご利用のお客様は、弊社までお問合せ下さい)

まとめ

CloudFrontの各SSL証明書のタイプごとの、SSLv3/TLS1.0以降の対応状況をまとめました。

SSL証明書タイプ SSLv3 TLSv1以降
共用SSL(*.cloudfront.net) ×
SNI 独自SSL ×
専用IP 独自SSL 有効/無効
選択可

CloudFrontで利用できるSSL証明書の種類などは、弊社ブログの以下のエントリーを参照ください。

CloudFrntではデフォルトでSSLv3が無効となり、どうしてもSSLv3を使用し続けたいという場合は、別途費用($600/月)のかかる「専用IP 独自SSL」を選択せざるを得なくなります。

しかし、今回の脆弱性の発表でSSLv3は「もはや安全な通信手段ではない」という状況になりました。出来る限りSSLv3を利用しないよう検討するのが良いと考えます。