1. 개요

 S3 Endpoint 가 어떠한 Protocol과 Cipher Suites 를 지원하는지 알아봄
 

2. 방법

  1) S3 Endpoint 의 정보 확인 (S3 외 다른 Service Endpoint 도 확인가능)

      https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region

 

  2) Seoul Region 내 S3 Endpont 정보
       s3.ap-northeast-2.amazonaws.com
       s3-ap-northeast-2.amazonaws.com
       s3.dualstack.ap-northeast-2.amazonaws.com**
   
  3) SSL Labs 에서 Endpoint 조회
       https://www.ssllabs.com/ssltes  
  
  4) 결과 확인
 
- 지원 Protocol
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No

 

- 지원 Cipher Suites

Cipher Suites
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 256
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c)   WEAK 128
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d)   WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)   WEAK 128
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)   WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)   WEAK 256
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d)   WEAK 256
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)   WEAK 112
# TLS 1.1 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)   WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)   WEAK 256
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)   WEAK 112
# TLS 1.0 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)   WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)   WEAK 256
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)   WEAK 112
 

 

 - 기타 정보는 SSL Labs 조회 시 확인가능

 

3. 결과

  S3 Endpoint는 TLS 1.0/1.1/1.2 Protocol 과 다양한 Cipher Suites 를 모두 지원(Weak 포함)하며 이는 오래된 브라우저와 클라이언트의
연결도 허용하려는 이유로 판단됨
  따라서 보안 강화를 위해서는 S3 Endpoint 를 사용하는 클라이언트 단에서  Cipher Suite 와 Protocol 을 선별하여 연결하는 방법이 필요함(SDK 이용 시)
   ex) ALB에서의 SSL 인증서 적용 시 TLS 1.2 사용및 TLS 1.0 / 1.1 사용제외 등과 같은 방식