N-LAB.

AWSでCLB(Classic Load Balancer)のTLS 1.0/1.1を無効化する方法

投稿日:2023/04/11

目標

  • AWSのCLB(Classic Load Balancer)のTLSバージョン1.0/1.1を無効化して1.2に固定する。

※モダンブラウザではTLS 1.2は対応されているが、古いブラウザでは1.2に対応していない場合もあるため注意

前提

  • AWSのCLB(Classic Load Balancer)を利用していること。
  • CLBにSSL証明書がインストールされていること。


目次

  1. SSL/TLSとは
  2. CLBのセキュリティポリシー変更
  3. TLSのバージョン確認


1. SSL/TLSとは

  • SSL(Secure Sockets Layer)とは、インターネット上で通信を暗号化し、安全に通信を行うためのセキュリティプロトコルです。SSL(TLS)では通信データの暗号化により、第三者によるデータの盗聴や改ざんを防ぐことが可能です。


  • SSLはバージョン3.0までリリースされたのち、TLS(Transport Layer Security)という名称でバージョン1.0がリリースされ、SSLからTLSへと移行しました。TLSはSSLの次世代規格であるため、SSLと比べセキュリティの強化が行われています。一般的にSSLと呼ばれるものはTLSを指すことが多く、SSL/TLSと表記されることもあります。2023年4月時点でTLSの最新バージョンは1.3であり、こちらに移行することが望ましいですが、対応していないブラウザもあるので注意が必要です。


  • TLS 1.0/1.1以前の古いバージョンには脆弱性があり、利用は非推奨とされています。以降の手順ではTLSの1.0/1.1を無効化し、TLSの1.2のみを利用する方法を記載しています。各ブラウザによりTLS 1.0/1.1を利用し続けていた場合は、より厳重な警告やサーバーへ接続できないなどの処置を行われる可能性があるため早期の対応を推奨します。


2. CLBのセキュリティポリシー変更

  • CLBのTLSバージョンの1.0/1.1を無効化するには、ロードバランサーのリスナーに設定されているセキュリティポリシーを変更することで対応が可能です。


検索欄より「ec2」と入力し、「EC2」をクリックします。
ec2
左サイドメニューの「ロードバランサー」をクリックします。
load balancer
設定を変更したいCLBのNameをクリックします。
clb list
タブの「リスナー」をクリックし、ロードバランサーのプロトコルが「HTTPS」の暗号カラムの「変更」をクリックします。
clb detail
「事前定義されたセキュリティポリシー」のセレクトボックスで以下を選択し、「保存」をクリックします。
 ELBSecurityPolicy-TLS-1-2-2017-01
select security plicy
※「ELBSecurityPolicy-TLS-1-2-2017-01」はTLSの1.0/1.1が無効になり、TLS 1.2のみが有効になったセキュリティポリシーです。

3. TLSのバージョン確認

  • 手順「2. CLBのセキュリティポリシー変更」でTLSのバージョンを1.2のみ利用するように設定を変更したので、設定が反映されているかを確認します。

(1). 以下のURLにアクセスします。
https://www.cdn77.com/tls-test

(2). 入力欄にホスト名を入力し、「Test now」をクリックします。
※例として、「https://www.google.com/hoge」の場合は「www.google.com」がホスト名になります。
tls checker

(3). 以下の結果が表示されることを確認します。

TLS 1.2	enabled
TLS 1.1 (deprecated) disabled
TLS 1.0 (deprecated) disabled
SSLv3 (deprecated) disabled
SSLv2 (deprecated) disabled



以上で全ての手順は完了になります