TLSのバージョンアップ AWSのALB使っているんだけど

2020年12月12日 2025年4月23日 asai

asai

opencv4nodejsの続編を書こうと思ったのではあるが、セキュリティ関係でホットな「ネタ」ができたので、ちょっと書いてみようと思う。
HTTPでセキュアな通信をしようとしたら、暗号化してHTTPSになる。20年前くらいは「SSL」って呼んでたかなぁ。
SSLはSecure Sockets Layer(え、Secret Socket Layerじゃないの？微妙な違いだから"ごまかせる"かも)。
なんかいつの間にか、TLSとか呼ばれるようになった。TLSはTransport Layer Securityだそうな。
でもって、SSLがTLSになったのだが、そのバージョンとしては
SSL1.0 -> SSL2.0 -> SSL3.0 -> TLS1.0 -> TLS1.1 -> TLS1.2 -> TLS1.3
のように遷移している模様。
でもって、2020年時点では、SSLはあまり使われていなくて、TLS1.2が主流。
言わずもがな、バージョンが大きい方が「セキュア度が高い」そりゃそうだよね。
TLS1.0や1.1は”もう古い”過去のプロトコルであるらしい。
でもって、自分の関係しているWebサイトに対して、セキュリティ評価にかけてもらったのだが、その結果...
　TLS1.0や1.1はもはや推奨されない暗号化通信になるので、早急なバージョンアップをお願いします。
というもの。
どうも、2020年にはメジャーなブラウザでTLS1.0/1.1が無効化されるらしい。
でも、今は2020年の12月だけど？
「コロナの影響で先延ばし」みたいな記事も発見できた。
WebサイトはAWS上に構築している。WebサイトのフロントエンドはALB。ALB配下にnodejsのECSタスクを複数立てている感じ。ALBのリスナーポートが443で、nodejs側のポート3000に転送されるようになっている。クライアントとALB間がTLSで暗号化されたHTTPS通信となり、ALBとECSタスク間は暗号化されていないHTTP通信となる。
なので、AWS ALBを使っているのであれば、ALBの設定を変更すれば、TSL1.2だけを使うようにすぐに変えることができる。
参考サイト
https://www.japon-line.co.jp/tech/aws-elastic-load-balancerのtlsバージョンを1-2に固定する方法/
「だが、しかし」である。
上記のサイトにも書いてある通り、ホイホイと気軽にやると、
　昨日までは繋がっていたのに、今日は「使えないぞ」。
　なんか、TLSのバージョンがどうのと言っているが「これは何だ」。
といったクレームが頻発するかも知れない。
メジャーどころのブラウザはTLS1.0/1.1を廃止するといっても、それは最新バージョンでの話。いまだにWindows7やXPで古いバージョンのIEを現役で使っているところも少なくはない... かも知れない。

ALBのログ

ということで、ALBのログを収集して、TLS1.0でアクセスしてくるクライアントが「どの程度いる」のかを調べてみることにした。
ALBでのログ収集はいたって簡単。チェックボックスにチェックを入れて有効化するだけ。ログはS3に保存されるが、ポリシー設定するのが面倒なので、ALBの設定画面でS3バケットを新規に作成するチェックを入れてログを有効化した。
有効化するとS3にログファイルが溜まり始める。ログファイルは5分毎に分割されて作成されていく。ローカルに持ってきてデータベースに入れて集計してもよかったのだが、AWSのAthenaを使うと「いとも簡単」にできるようなので、やってみた。
以下のサイトが元ネタ
https://dev.classmethod.jp/articles/alblog-tls/
ログ分析のやり方は上記のサイトにゆずるとして、SQL命令で簡単に集計することができた。
ふーん、時代は進んでいるのね。
apacheのログを持ってきて、集計して、分析ということを昔は"苦労して"やっていたような気がするが...
それはさておき、半日が経過した時点で集計してみると、ほとんどがTLSv1.2であることが判明。
何だ、取り越し苦労だったかも。でも、まだサンプル数が少ない、ということもあり得るかな。もう少しログ収集を続けてみよう。