亚马逊云科技最近宣布,TLS 1.2将成为API端点的最低协议级别,并将于 2023 年 6 月前在所有 API 和地区取消对 TLS 1.0 和 1.1 版本的兼容和支持。
亚马逊云科技高级技术项目经理 Janelle Hopper,高级专业技术客户经理Daniel Salzedo,以及软件开发工程师Ben Sherman解释说:
为了保持向后兼容,我们一直在亚马逊云上支持 TLS 1.0 和 1.1 版本,因为有些客户还在使用旧客户端,或者有些客户端难以更新(如嵌入式设备)。此外,我们还采取了积极的缓解措施,保护客户的数据免受旧版本中发现的问题所影响。现在是退役 TLS 1.0 和 1.1 的恰当时机,因为越来越多的客户要求做出这一修改,以帮助他们简化部分合规性工作,而且,使用这些旧版本的客户越来越少。
按照他们的说法,亚马逊云科技 95%的客户已经在使用更新的加密协议。目前,最常使用 TLS 1.0 或 1.1 的是低于 4.6.2 的.NET 框架版本。亚马逊云科技副总裁兼杰出工程师Colm MacCárthaigh在推特上说:
在亚马逊云科技,我们几乎从不关闭任何东西,但 TLS1.0 和 TLS1.1 正在被砍掉!还在使用这些版本的客户很少,你可以查看 CloudTrail 日志,看一下是否有任何请求在使用这些版本。
UCL 安全工程教授、英国皇家学会研究员Steven Murdoch警告说,大多数 TLS 1.1 连接可能都是不受欢迎的:
当考虑在 benthamsgaze.org 上强制推行 TLS 1.2 时,我发现 TLS 1.1 连接的数量还不小。而经过进一步调查发现,每一个这样的连接都在试图利用一些不存在的漏洞。我并不为失去这些流量感到难过。
可以使用最近添加的 tlsDetails 字段监控 AWS CloudTrail 日志,以确定当前是否使用了过时的 TLS 版本。亚马逊云科技建议用CloudTrail Lake、CloudWatch Log Insights或Athena解析记录。CloudWatch Log Insights 有两个新的样本查询,可用于查找使用 TLS 1.0 或 1.1 的日志条目,以及查找每个使用过时 TLS 版本的服务的调用数量。
图片来源:https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/
AWS CLI第二版已经强制使用 TLS 1.2,这已经是所有AWS FIPS端点的要求。亚马逊云科技提醒说,虽然大多数仍在使用 TLS 1.0 或 1.1 的客户会收到通知,但并不是每一种情况他们都能发现:
如果我们检测到您正在使用 TLS 1.0 或 1.1,那么您会在 AWS 健康仪表板上收到通知,并且也会收到电子邮件通知。但是,如果您以匿名方式连接到 AWS 共享资源,例如公共的 Amazon S3 桶,那么您将不会收到通知,因为我们无法识别匿名连接用户的身份。此外,(......)我们有可能无法检测到不经常出现的连接,例如那些一个月内都没出现的连接。
为了最大限度地减少推行 TLS 1.2 带来的可用性影响,亚马逊云科技会在未来几个月内逐端点推出这些变更。2023 年 6 月 28 日之后,他们将更新端点配置,即使客户仍有使用旧版本的连接。
作者简介:
Renato Losio 拥有多年的软件工程师、技术负责人和云服务专家工作经验,曾在意大利、英国、葡萄牙和德国等国家工作。他住在柏林,作为 Funambol 的首席云架构师远程工作。他主要关注云服务和关系型数据库。他是 AWS Data Hero。
原文链接:
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论