スポンサードリンク

2015年03月31日

2015年3月15日 山形県(かみのやま温泉⇒立石寺)

東北地方旅行4日目、最終日。帰る日です。

DSC01777.JPG

朝起きたら朝ごはんです。
そしてチェックアウトの前に。

DSC01781.JPG

裏の山みたいなのに登ることに。
途中でモニュメントがあるとのこと。

「2015年3月15日 山形県(かみのやま温泉⇒立石寺)」の続きを読む
posted by hinata_hisa at 23:10 | 東京 ☀ | Comment(0) | 旅行の記録 | このブログの読者になる | 更新情報をチェックする

ELBSecurityPolicy-2015-02に設定を変更したらXPからのアクセスが全滅した話

久しぶりに仕事くさいAWS関係の話です。

ELBにはCipher(サイファーって発音します)の設定があるのですが、ご存知でしょうか?
SSL Security Policiesってやつです。
-http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-options.html

これらの各細かい設定内容は以下のページで確認できます。
-http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html

昨今、SSLv3なんて使ってんじゃないよってことで、
脆弱性対応のために、ELBSecurityPolicyを変更されることも多いのかなと思っています。

で、ELBSecurityPolicyを2014-01から2014-10に変更するのは良いのです。
これは、SSLv3が使えなくなるだけなのです。

しかし、ELBSecurityPolicy-2014-10からELBSecurityPolicy-2015-02に変更すると
・ECDHE-RSA-RC4-SHA
・RC4-SHA
この2つが殺されてしまうのですが、これがXPからのアクセスを全滅させるようなのです。

どうも、Windows XPでは、以下のリストにあるTLS Cipher Suitesのどれか1つを
必ず利用可の状態にしておかないといけないようです。
-https://msdn.microsoft.com/en-us/library/windows/desktop/aa380512(v=vs.85).aspx

ですので、XPを生かす場合は、ELBSecurityPolicyは2014-10以前を使わざるをえない状況なのかと。

私もこのあたり全然詳しくなかったので結構ぐぐったのですが、なかなかヒットせず。
-http://blog.uu59.org/2014-05-29-https.html
まずヒットしたのがこちら。これが超ヒントになりました。大感謝です。
この記事の中にある、TLSだけにするというのはELBSecurityPolicyでもそうなってますよね。

そしてこの
>XP IE8がTLS v1.0のAESを解さなくてRC4か3DESを有効化しないといけなかったので
ここ!ここが素晴らしい・・・。
ここの裏付けを私はどうしても取りたかったのでさらにぐぐって。

そして、たどり着いたのが以下のWikiです。
-http://ja.wikipedia.org/wiki/Template:%E3%82%A6%E3%82%A7%E3%83%96%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8BTLS/SSL%E3%81%AE%E5%AF%BE%E5%BF%9C%E7%8A%B6%E6%B3%81%E3%81%AE%E5%A4%89%E5%8C%96

最高ですね。
Internet Explorerの、Windows XPにある注21を見てみましょう。
>Windows XPおよび Server 2003以前のSChannelは3DESやRC4といった弱いアルゴリズムのみに対応

ここにも似たような記述がありますね。
っしてさらに引用元の[46]にジャンプすると、
-https://msdn.microsoft.com/en-us/library/windows/desktop/aa380512(v=vs.85).aspx
にたどり着きました。
これで、XPが持っているTLS Cipherの一覧がわかりましたね。

そんなわけで、ELBのPredefined Security Policyを使う場合は、
Windows XPを生かすには、RC4を使う必要があるためELBSecurityPolicy-2015-02はダメで、
ELBSecurityPolicy-2014-10までしかダメです。

-http://internet.watch.impress.co.jp/img/iw/docs/331/592/html/ssl07.jpg.html
これも参考になると思ったのでリンクを貼っておきます。
こっちを見ると、RC4と3DESしか載ってないですね。
TLS_RSA_WITH_DES_CBC_SHAとかなんて暗号強度がおもちゃすぎて載せる必要なんてないからかな・・・

後はWikipediaのTLSのページに任せた。
-http://ja.wikipedia.org/wiki/Transport_Layer_Security
ここはめっちゃ情報が整備されてて嬉しい。

SSLv3が消えるのでPOODLEの脅威からは守られるんですが・・・
RC4はもうマイクロソフトが利用をやめるようにWindowsUpdateを出している状況なんで・・・
http://ja.wikipedia.org/wiki/RC4

これを使うのはお察し・・・って状態ですね。
タグ:AWS
posted by hinata_hisa at 18:18 | 東京 ☀ | Comment(0) | IT関係 | このブログの読者になる | 更新情報をチェックする

本日の靖国神社(桜満開)

以下は、全て靖国神社の中の桜です。

IMG_9106.JPG

IMG_9108.JPG

IMG_9110.JPG

IMG_9113.JPG

IMG_9114.JPG


桜が満開です。
人もいっぱいですね。
posted by hinata_hisa at 11:29 | 東京 ☀ | Comment(0) | 寺・神社・公園・美術館等 | このブログの読者になる | 更新情報をチェックする