ATS の概要とCloudFrontの対応状況CloudFrontのSSL機能

Transcription

1 まだ間に合う! Amazon CloudFront で ATS 対応 アマゾンウェブサービスジャパン株式会社 事業開発部 三宅琢也

2 Agenda 背景 : HTTPSの利用の加速 ATSとCloudFrontの対応状況 ATS 対応におけるCloudFrontのメリット まとめ

3 背景 : HTTPS の利用の加速

4 HTTPS とは? Hyper Text Transfer Protocol Secure の略称 HTTP の通信を安全 (Secure) に行うためのプロトコル SSL/TLS プロトコルでサーバの認証 通信の暗号化を行う サーバの認証には認証局 (CA) が発行した証明書が必要 SSL 証明書 SSL 認証局が発行 (Verisign, Geotrust, Starfield など ) URL で名乗っているサーバであることを証明 サーバーの公開鍵をクライアントに配布 主な用途 ネットの決済 個人情報の送信 プライベートコンテンツ HTTP/2 など

5 SSL/TLS のバージョン SSL2.0 SSL3.0 TLS1.0 TLS1.1 TLS1.2 攻撃方法に対する耐性 ダウングレード攻撃 ( 最弱暗号アルゴリズムを強制 ) バージョンロールバック攻撃 (SSL2.0 を強制 ) CBC モード時の脆弱性攻撃 (BEAST/POODLE 攻撃など ) 脆弱安全安全安全安全 脆弱安全安全安全安全 脆弱脆弱要パッチ安全安全 128 ビットブロック暗号 (AES, Camellia) 不可不可可可可 利用可能な暗号アルゴリズム 認証月暗号利用モード (GCM, CCM) 不可不可不可不可可 楕円曲線暗号不可不可可可可 SHA02 ハッシュ関数 (SHA-256, SHA-384) 不可不可不可不可可 SSL/TLS 暗号設定ガイドライン v1.1, IPA

6 HTTPS の普及 ( 利用率 ) 40% Alexa の Top 1,000,000 サイトの HTTPS リクエストの割合 35% 30% 25% 21% 22% 23% 23% 24% 24% 25% 27% 27% 26% 27% 29% 30% 31% 34% 20% 15% 10% 5% 0% 2015 年 8 月 2015 年 9 月 2015 年 10 月 2015 年 11 月 2015 年 12 月 2016 年 1 月 2016 年 2 月 2016 年 3 月 2016 年 4 月 2016 年 5 月 2016 年 6 月 2016 年 7 月 2016 年 8 月 2016 年 9 月 2016 年 10 月 HTTP Archive Trends

7 サイトの常時 SSL 化のメリット 項目効用ビジネス効果 SEO 対策 Google の検索順位優遇マーケティング効果向上 リファラー ( 参照元 ) の取得サイトのアクセス解析ユーザー動向分析 サイト開発 管理 脆弱なアクセスポイントからの傍受 コンテンツやリンク 構成ファイルの管理 保守 中間者攻撃 なりすまし盗聴などの阻止 開発 運用コスト低下 ユーザー被害の防止 HTTP/2 プロトコル利用ウェブページ表示高速化ユーザーエクスペリエンス向上 HTTPS 化の目的がセキュリティ + ビジネス価値向上へシフト

8 Google: HTTPS ページの優先インデックス Google ウェブマスター向け公式ブログ (2015 年 12 月 18 日 )

9 Google: HTTP Strict Transport Security(HSTS) を google.com に実装しHTTPS 強制 * * Gmail, Inbox, Google Play, Hangouts, Docs など Google's HSTS rollout: Forced HTTPS for google.com aims to help block attacks (August 1, 2016)

10 PCI DSS v3.2 の関連項目 2016 年まで 全てのサービスプロバイダは (TLS1.2 などの ) セキュアなサービスを開始する 2018 年 6 まで 既存実装は (TLS1.2 などの ) セキュアなサービスに移行する PCI DSS Requirements and Security Assessment Procedures Version 3.2 (April 2016)

11 Paypal: TLS 1.2 および HTTP/1.1 へのアップグレード TLS 1.2 および HTTP/1.1 へのアップグレード, PayPal

12 2016 年末までに App Transport Security(ATS) 必須化 まだ間に合います! Apple will require HTTPS connections for ios apps by the end of 2016 (June 14, 2016)

13 ATS と CloudFront の対応状況

14 ios9 ATS の概要と現状 App Transport Securityの略称 AppleがiOS9から導入 iosアプリのサーバ接続をhttpsに強制する仕組み TLS1.2 サーバ証明書 : 2048bit RSA 鍵 SHA2 以上のハッシュで署名 Cipher Suiteは Perfect Forward Secrecyを提供 アプリ開発者が 接続先サーバをセキュア接続に対応させる必要がある ( エンドユーザ側のアクションは不要 ) 現在はドメイン単位で無効化が可能 (* で全ドメイン指定も可 )

15 ios ATS の今後の展望 WWDC 2016でATS 必須化が発表 2017 年 1 月 1 日からAppStoreの申請で必須になる予定 以下のケースを除きアプリの通信はすべてHTTPS 化が必須 Webページ ( ブラウザー ) DRMなどバルクで暗号化された動画ストリーミング アプリ開発側で今後必要なアクション 接続先サーバをセキュア接続に対応 既にセキュア接続対応な場合もTLS1.2 SHA2などの要件を確認 ATS 対応にアプリを改修

16 ATS の必須要件 (2016/10/18 現在 ) TLS/SSL のバージョンは TLS 1.2 TLS の Cipher Suite は 以下の Perfect Forward Secrecy(PFS) 付き ECDSA Certificates TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA RSA Certificates TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA SSL 証明書は以下の暗号鍵で署名 Rivest-Shamir-Adleman (RSA) 2048 bits 以上 Elliptic-Curve Cryptography (ECC) 256 bits 以上

17 CloudFront の必須要件の対応状況 CloudFront は TLS 1.2 に対応 以下の Cipher Suite と Perfect Forward Secrecy に対応 RSA Certificates TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 以下の暗号鍵で署名された証明書に対応 Rivest-Shamir-Adleman (RSA) 2048 bit 以上

18 ATS 対応における CloudFront のメリット

19 CloudFront HTTPS の特長 HTTP/HTTPSは同じサーバ群から配信 HTTP/HTTPSのインターネットデータ転送料は同じ * 利用可能な証明書 CloudFrontドメイン証明書 (*.cloudfront.net) 独自ドメイン証明書 (SNI/ 専用 IP) CloudFrontドメイン SNI 証明書は固定費無料 AWS Certificate Manager CloudFront ELBの証明書管理ツール 無料の証明書の発行が数クリックで可能 発行された証明書の自動更新が可能 * リクエスト料金は異なる場合があります

20 メリット 1: コスト 以下の証明書は月額固定費無料で利用可能 CloudFrontドメイン証明書 (*.cloudfront.net) SNI 独自ドメイン証明書 SNI 独自ドメイン証明書 Server Name Indicationの略称 3rdパーティベンダー Amazon 認証局の証明書が利用可能 ios4 以降でサポート ( AWS Certificate Managerで証明書を無料で発行 Amazon 認証局の証明書が無料で発行 利用可能

21 メリット 2: 運用 AWS Certificate Manager 証明書の発行から利用まで数クリック 数分で可能 発行された証明書の更新を自動で実施 CSRや暗号鍵のやり取りが無いためセキュアな運用 AWS Certificate Manager CloudFront/Origin 間の通信で HTTP/HTTPS が選択可能 Origin の証明書取得 更新 維持が不要 緊急時に CloudFront を被せるだけで ATS 対応が可能 HTTPS HTTP/HTTPS ATS 対応 ios App CloudFront オリジンサーバ

22 メリット 3: パフォーマンス HTTP/HTTPS は 同じサーバ群を利用 利用できるサーバ台数は HTTP と変わらない キャパシティ パフォーマンスの大幅な見直しは不要 様々な配信用途 内容に利用可能 AWS オリジンの高速化 CF のエッジロケーションと AWS リージョンはバックボーンで接続 通信には TCP のチューニングやルートの最適化が適用 事例 : API などキャッシュできない HTTPS 通信の高速化 (Slack 社 )

23 まとめ

24 まとめ Web の HTTP から HTTPS への移行が加速している サイトの一部から全サイトへ 通信の暗号化によるユーザ被害の保護 パフォーマンス (HTTP/2) ブランドイメージ マーケティング Apple ios を始め 業界 ベンダー プラットホームによる HTTPS の強制が始まっている CloudFront を利用した HTTPS 移行のメリット 無料の証明書と SNI の利用で低価格で実現可能 AWS Certificate Manager で証明書の取得 セットアップの時間を短縮 CDN の利用により最小限のシステム変更で HTTPS の道入が可能