TLS 1.2 成为亚马逊云科技最低 TLS 协议级别

亚马逊云科技最近宣布，TLS 1.2将成为API端点的最低协议级别，并将于 2023 年 6 月前在所有 API 和地区取消对 TLS 1.0 和 1.1 版本的兼容和支持。

亚马逊云科技高级技术项目经理 Janelle Hopper，高级专业技术客户经理Daniel Salzedo，以及软件开发工程师Ben Sherman解释说：

为了保持向后兼容，我们一直在亚马逊云上支持 TLS 1.0 和 1.1 版本，因为有些客户还在使用旧客户端，或者有些客户端难以更新（如嵌入式设备）。此外，我们还采取了积极的缓解措施，保护客户的数据免受旧版本中发现的问题所影响。现在是退役 TLS 1.0 和 1.1 的恰当时机，因为越来越多的客户要求做出这一修改，以帮助他们简化部分合规性工作，而且，使用这些旧版本的客户越来越少。

按照他们的说法，亚马逊云科技 95%的客户已经在使用更新的加密协议。目前，最常使用 TLS 1.0 或 1.1 的是低于 4.6.2 的.NET 框架版本。亚马逊云科技副总裁兼杰出工程师Colm MacCárthaigh在推特上说：

在亚马逊云科技，我们几乎从不关闭任何东西，但 TLS1.0 和 TLS1.1 正在被砍掉！还在使用这些版本的客户很少，你可以查看 CloudTrail 日志，看一下是否有任何请求在使用这些版本。

UCL 安全工程教授、英国皇家学会研究员Steven Murdoch警告说，大多数 TLS 1.1 连接可能都是不受欢迎的：

当考虑在 benthamsgaze.org 上强制推行 TLS 1.2 时，我发现 TLS 1.1 连接的数量还不小。而经过进一步调查发现，每一个这样的连接都在试图利用一些不存在的漏洞。我并不为失去这些流量感到难过。

可以使用最近添加的 tlsDetails 字段监控 AWS CloudTrail 日志，以确定当前是否使用了过时的 TLS 版本。亚马逊云科技建议用CloudTrail Lake、CloudWatch Log Insights或Athena解析记录。CloudWatch Log Insights 有两个新的样本查询，可用于查找使用 TLS 1.0 或 1.1 的日志条目，以及查找每个使用过时 TLS 版本的服务的调用数量。

图片来源：https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/

AWS CLI第二版已经强制使用 TLS 1.2，这已经是所有AWS FIPS端点的要求。亚马逊云科技提醒说，虽然大多数仍在使用 TLS 1.0 或 1.1 的客户会收到通知，但并不是每一种情况他们都能发现：

如果我们检测到您正在使用 TLS 1.0 或 1.1，那么您会在 AWS 健康仪表板上收到通知，并且也会收到电子邮件通知。但是，如果您以匿名方式连接到 AWS 共享资源，例如公共的 Amazon S3 桶，那么您将不会收到通知，因为我们无法识别匿名连接用户的身份。此外，（......）我们有可能无法检测到不经常出现的连接，例如那些一个月内都没出现的连接。

为了最大限度地减少推行 TLS 1.2 带来的可用性影响，亚马逊云科技会在未来几个月内逐端点推出这些变更。2023 年 6 月 28 日之后，他们将更新端点配置，即使客户仍有使用旧版本的连接。

作者简介：

Renato Losio 拥有多年的软件工程师、技术负责人和云服务专家工作经验，曾在意大利、英国、葡萄牙和德国等国家工作。他住在柏林，作为 Funambol 的首席云架构师远程工作。他主要关注云服务和关系型数据库。他是 AWS Data Hero。

原文链接：

TLS 1.2 Becoming the Minimum TLS Protocol Level on AWS