AWS
SSL

SSL3.0の脆弱性'POODLE'とELBとわたし

More than 3 years have passed since last update.


ピンチ!

また脆弱性です。

いろいろ対応方法あるっぽいですが、

https://www.openssl.org/~bodo/ssl-poodle.pdf

ここによればサーバ側も無効にしておけば?みたいなことが書いてありそうなので、

とりあえずサーバサイド対策として、AWSのELBのSSL3.0を無効にしておきたいと思います。


やり方

ELBの画面から、一台選んで、

Actions -> Edit listeners -> Cipher -> Change

で下の画面が出るので、

ELBCipher.png

Custom Security Policyを選んで、

Protocol-SSLv3をはずす。


いっぱいある人

同様のことをCLIなどで一気にやりましょう。


追記1

コメントいただきましたように、AWSの公式アナウンスが出ているようです。

https://aws.amazon.com/jp/security/security-bulletins/CVE-2014-3566-advisory/

特に現状のポリシーにこだわりが無い方は、

"ELBSecurityPolicy-2014-10"

を選ぶのが良いようです。

もちろん既存ポリシーに意味がある方は、SSLv3をはずす方向が良いと思います!