1. 개요
S3 Endpoint 가 어떠한 Protocol과 Cipher Suites 를 지원하는지 알아봄
2. 방법
1) S3 Endpoint 의 정보 확인 (S3 외 다른 Service Endpoint 도 확인가능)
https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region
2) Seoul Region 내 S3 Endpont 정보
s3.ap-northeast-2.amazonaws.com
s3-ap-northeast-2.amazonaws.com
s3-ap-northeast-2.amazonaws.com
s3.dualstack.ap-northeast-2.amazonaws.com**
3) SSL Labs 에서 Endpoint 조회
https://www.ssllabs.com/ssltes
4) 결과 확인
- 지원 Protocol
TLS 1.3 | No |
TLS 1.2 | Yes |
TLS 1.1 | Yes |
TLS 1.0 | Yes |
SSL 3 | No |
SSL 2 | No |
- 지원 Cipher Suites
Cipher Suites | ||
# TLS 1.2 (suites in server-preferred order)
|
||
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
128 | |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030 ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
256 | |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013 ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
128 | |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027 ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
128 | |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014 ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
256 | |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028 ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
256 | |
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c ) WEAK |
128 | |
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d ) WEAK |
256 | |
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f ) WEAK |
128 | |
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c ) WEAK |
128 | |
TLS_RSA_WITH_AES_256_CBC_SHA (0x35 ) WEAK |
256 | |
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d ) WEAK |
256 | |
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa ) WEAK |
112 | |
# TLS 1.1 (suites in server-preferred order)
|
||
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013 ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
128 | |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014 ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
256 | |
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f ) WEAK |
128 | |
TLS_RSA_WITH_AES_256_CBC_SHA (0x35 ) WEAK |
256 | |
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa ) WEAK |
112 | |
# TLS 1.0 (suites in server-preferred order)
|
||
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013 ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
128 | |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014 ) ECDH secp256r1 (eq. 3072 bits RSA) FS |
256 | |
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f ) WEAK |
128 | |
TLS_RSA_WITH_AES_256_CBC_SHA (0x35 ) WEAK |
256 | |
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa ) WEAK |
112 |
- 기타 정보는 SSL Labs 조회 시 확인가능
3. 결과
S3 Endpoint는 TLS 1.0/1.1/1.2 Protocol 과 다양한 Cipher Suites 를 모두 지원(Weak 포함)하며 이는 오래된 브라우저와 클라이언트의
연결도 허용하려는 이유로 판단됨
따라서 보안 강화를 위해서는 S3 Endpoint 를 사용하는 클라이언트 단에서 Cipher Suite 와 Protocol 을 선별하여 연결하는 방법이 필요함(SDK 이용 시)
ex) ALB에서의 SSL 인증서 적용 시 TLS 1.2 사용및 TLS 1.0 / 1.1 사용제외 등과 같은 방식