[ACM] 無料SSL環境をセキュリティ診断してみた

eyecatch_certificate_manager

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

AWSチームのすずきです。

AWSの無料SSL証明書を組み込んだELBとCloudFrontを対象として、 QUALYS SSL LABSが提供するSSLサーバテストによる診断を実施する機会がありましたので、 その結果を紹介します。

診断サイト

QUALYS SSL LABS SSL Server Test

事前設定

ELB

  • ELBの設定はAWSコンソールを利用しました。

acm-ssl_server_test-13

セキュリティポリシー設定

  • 2016年1月時点でデフォルトの「ELBSecurityPolicy-2015−05」を利用しました。

acm-ssl_server_test-11

証明書設定

  • ACMがリリースされているバージニア(us-east-1)リージョンでは、証明書としてACMで作成した証明書が指定可能です。

acm-ssl_server_test-12

CloudFront

  • カスタムSSL証明書として、ACMで作成した証明書を指定しました。

acm-ssl_server_test-22

SSL診断

  • QUALYS SSL LABS SSL Server Testを利用しました
  • 「Domain name」欄に診断対象のELB、CloudFrontのFQDNを記入し「Submit」します。
  • 診断結果の公開は希望しないので、非公開オプションをチェックしました。

acm-ssl_server_test-01-2

ELBの結果

  • 今回のELB、Multi-AZ、IPアドレスとしては2つ有した環境でした。
  • 設定内容は共通と考えられるので、結果は1つのみ確認しました。

acm-ssl_server_test-14

総合サマリー

  • 総合結果「A」となりました
  • 上位として「A+」も存在しますが、既知の問題はなく、安全に利用できる暗号化強度と思われます。

acm-ssl_server_test-15

認証(Authentication)

  • 鍵仕様(RSA 2048bit、SHA256)、有効期限などが確認できます。

acm-ssl_server_test-16

  • CA、ルート証明書情報も確認できます。

acm-ssl_server_test-17

acm-ssl_server_test-18

プロトコル設定

  • ELB設定に依存する項目ですが、プロトコルなどの確認が可能です。

acm-ssl_server_test-19

  • 対応ブラウザ、IE 6/XPが対応外と判定されました。
  • 現行環境、ほぼ問題なくHTTPS通信可能と考えられます。

acm-ssl_server_test-20

  • プロトコルの詳細、既知の脆弱性は無いと判定されました。

acm-ssl_server_test-21

CloudFront 結果

  • CloudFront(CDN)は、複数IPが検出されました。
  • 設定内容は共通と考えられるので、結果は1つのみ確認しました。

acm-ssl_server_test-02

総合サマリー

  • 総合結果「A」、 スコアはELBと同一でした。

acm-ssl_server_test-03

認証(Authentication)

  • 同じ証明書を利用するELBと同一内容でしたので割愛します。

プロトコル設定

  • 対応プロトコルはELBと共通でした。

acm-ssl_server_test-07

  • SNI(ホスト名ベースのHTTPS)でCloudFrontを設定した為、SNS非対応のブラウザがNGになりました。

acm-ssl_server_test-09

  • プロトコル詳細、問題のある設定は検知されませんでした。
  • SSLセッション周りなどの設定で、一部ELBとの差異がありました。

acm-ssl_server_test-10

既存サイトでの確認

  • 「SSL Server Test」の有効性確認の為、別サイトでの診断も実施してみました。

クラスメソッドコーポレートサイト

  • 弊社コーポレートサイト「http://classmethod.jp」の診断を試みました。
  • 当該サイト、昨年COMODOより購入した証明書を、ELBに組み込み稼働しています。
  • 総合スコアは「A」、ACMの無料証明書と同一スコアでした。

acm-ssl_server_test-23

某国内サイト

  • シマンテック(ベリサイン)のEV証明書を利用されているサイトでした。
  • SSL証明書は問題がないものでした。
  • SSLの既知の脆弱性(POODLE)対策が不十分であるとして「F」判定となりました。
  • 利用が推奨されていない「RC4」が有効であるため、強度判定としても低めのスコアでした。

acm-ssl_server_test-24

acm-ssl_server_test-25

acm-ssl_server_test-26

acm-ssl_server_test-27

acm-ssl_server_test-28

まとめ

今回、SSL通信の診断を実施したサイトは、ACMで作成した無料のSSL証明書を、 ELB、CloudFrontのデフォルト設定で組み込んだだけの環境でしたが、 適切な暗号化通信が実現できており、安心してSSL通信を利用出来る事が確認できました。

また、ACMとELB(CloudFront)を利用する環境であれば、 今後、SSL証明書やプロトコルに新たな脆弱性が発見された場合でも、 迅速に正しい対処が実施出来る事が期待できます。

手間暇かけずAWSをより安全に使うための手段として、ACM是非ご活用ください。

AWS Cloud Roadshow 2017 福岡