ここでは AWS Elastic Load Balancing(Classic)の TLS バージョンを 1.2 に固定する方法を紹介します。
※固定化を検討する前に、対象サイトでのアクセス傾向を必ず確認するようにしてください。 現在のモダンブラウザでは TLS 1.2 は対応されているため問題ありませんが、古いブラウザでは 1.2 に対応していないものもあります。 例えば、IE9 はデフォルトで規定で無効化されているようです。
ご利用ユーザーのブラウザ環境も鑑み、TLS 1.2 に固定して問題ないか判断するようにしてください。また、サードパーティのライブラリ等を使用している場合は、TLS 1.2 固定で問題ないか確認が必要なケースもあると思います。
変更手順
- AWS の Console から EC2 -> ロードバランシング -> ロードバランサーにアクセス
- ロードバランサーを指定し、リスナータブをクリックします。
- HTTPS のプロトコルを探し、変更をクリックします。
“ELBSecurityPolicy-2016-08″がデフォルトで選択されているはずです。
セレクトメニューにいくつか選択肢があると思います。 TLS 1.2 に固定する場合は、”ELBSecurityPolicy-TLS-1-2-2017-01″を選択し、「保存」します。 これで TLS 1.2 に固定する作業は完了です。
| ELBSecurityPolicy-2016-08 | ELBSecurityPolicy-TLS-1-1-2017-01 | ELBSecurityPolicy-TLS-1-2-2017-01 | |
|---|---|---|---|
| TLS 1.0 | ○ | ー | ー |
| TLS 1.1 | ○ | ○ | ー |
| TLS 1.2 | ○ | ○ | ○ |
詳細はこちら(AWS 公式)
Application Load Balancer の HTTPS リスナーについて説明します。
