技術共有

ALBが対応している 暗号化プロトコルは何ですか?

こんにちは

Macです。

本日は、AWSのALBを調べることがありましたので、まとめていきます。

本日の議題はこちら。

Application Load Balancer 対応しているプロトコルは何?

最近、ALBを使う機会がありました。

そういえば、ALBにSSL証明書を入れるけど、

暗号化プロトコルって何が対応してるのかな?と思い調べました。

暗号化通信のプロトコルといえば、SSLやTLSがありますよね!

暗号化通信って何?

このセッションは、IT用語辞典に丸投げします(笑)

SSLって何?TLSって何?って方は、参考サイトを記載しておくので、見てください

SSLとは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

TLSとは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

ここ最近は、常時SSLが推奨されていたり、

暗号化されていないHPは、警告が出たりしていますね。

ALBが対応している暗号化プロトコル

AWS公式ドキュメントによると、以下でした。

Application Load Balancer 用の HTTPS リスナーを作成する

  • ELBSecurityPolicy-2016-08 (デフォルト)

デフォルト設定のセキュリティポリシーは、以下が有効です。

TLS1.0 / TLS1.1 / TLS1.2

SSL3.0以前のプロトコルは含まれていません。

また、最新のTLS1.3は未対応です。

なお、TLS1.0 / 1.1については、すでに脆弱性が指摘されています。

可能であれば、TLS1.2のみにしておくのがベターです。

(IPAでも、TLS1.2のみ有効化を推奨しています。)

※端末側でTLS1.2に対応していないブラウザなどがある場合は、

ページが開けなくリスクもありますので、ご注意ください。

参考:

TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~

TLS暗号設定ガイドライン チェックリスト(PDF形式 620KB)- IPA

ALBのセキュリティポリシーについて

ALBに紐づけられる、セキュリティポリシーは、以下があります。

  • ELBSecurityPolicy-2016-08 (デフォルト)
  • ELBSecurityPolicy-TLS-1-0-2015-04
  • ELBSecurityPolicy-TLS-1-1-2017-01
  • ELBSecurityPolicy-TLS-1-2-2017-01
  • ELBSecurityPolicy-TLS-1-2-Ext-2018-06
  • ELBSecurityPolicy-FS-2018-06
  • ELBSecurityPolicy-FS-1-1-2019-08
  • ELBSecurityPolicy-FS-1-2-2019-08
  • ELBSecurityPolicy-FS-1-2-Res-2019-08
  • ELBSecurityPolicy-2015-05
  • ELBSecurityPolicy-2016-08
  • ELBSecurityPolicy-FS-1-2-Res-2020-10

設定する場合は、上記の物から選ぶ必要があります。

自分でカスタマイズで作成することはできません。

この点は、基本的にAWSが管理しているものを利用することになります。

必要なものが含まれているものを利用しましょう。

まとめ

  • ALBのデフォルト セキュリティポリシーは、SSL3.0 / TLS1.3は非対応
  • デフォルトポリシーは、TLS1.0 / 1.1 / 1.2が有効化されている
  • TLS1.0 / TLS1.1 は、脆弱性が存在している。
  • IPAは、TLS1.2のみ有効化することを推奨している。

上記のことから、可能な限り、TLS1.2のみ有効化するようにしましょう!

今日は、ALBが対応している 暗号化プロトコルについてでした。

では、また次の記事でお会いしましょう!