AWS ALB+ACMの意外な落とし穴 | 外道父の匠

全然たいした話ではないのですが、へーって思ったので記録しておきます。 ALB にて外部からの不正アクセスを塞いだ話になります。 はじめに注意 ※追記３ この記事は、知識不足な状態で始まり、知識不足なまま初出した未熟な内容であり、外部の助力によりそれが解決に向かう、という流れになっています。 調査環境がAWSだったために、タイトルがこうなっていますが、実際はALB+ACM単独の問題ではなく、SSL/TLS としての仕様の話になっている、 ということを念頭において、読んでいただければと思います。 ※追記３ここまで 構成と問題点 手動で作成された ALB → EC2 環境があって、ワイルドカードなACM を使って 0.0.0.0:443 のみ開いており、EC2 は Global からのアクセスは遮断してありました。 にも関わらず、不正系なHostヘッダでアクセスされた形跡があり、コイツどこから来

[GedowFather]

書きましたが深追いはせずの精神 | ぐだぐだ追記アリ

[homarara]

SSL証明書はドメイン名に紐づくからIPでアクセスするとcurlが「なんか証明書のドメインとURLが一致しなくて怪しい」と判断して弾くだけの話。-k付ければ多分通る。chromeでも警告無視するか確認されたでしょ。AWS関係ない。

[diffie]

正直な感想としては「こんなんでインフラやっててドリコム大丈夫か」。そう思ったんだからしゃーない / twitterでは「長くHTTP(S)に関わってるけど、進化もしてるわけだし」だそうです。微笑ましい。

[sora_h]

えっ、この人この程度の認識なの意外すぎるな…。不正って言葉の使い方も。想定してないHostヘッダでのアクセスは平文でもあるものだし、SSLとX.509は太古の昔からあるし、証明書検証エラー無視しても暗号化はされるよ…

[tagomoris]

(追記見て)クライアントが暗号化しないんじゃなくて、証明書が正当だという検証をスキップ(失敗を無視)しつつ、その証明書をベースに暗号化通信を開始してる、ですね

[t_yamo]

HTTPSはサーバへの接続を制限してくれる訳ではないのでクライアントが証明書チェックしなければAWSとか関係なく繋がる気がする。不正な証明書でもクライアントが受け容れるならそれで暗号化もする気がする。

[iwamot]

品のないブコメにうんざり。fujiwara++／個人的には、ご面倒でもサポートケースを開いていただきたかった。コンソールやドキュメントの改善につながったかもしれない。

[momonga_dash]

Chromeはhttps://ipアドレス/でエラーが出んのはなんでなんですかね。

[rryu]

ホスト名が異なるURLでアクセスできてしまうという話っぽい。「ワイルドカードなACMを使って 0.0.0.0:443 のみ開いており」の時点で認識が誤っているような。

[hamaco]

AWSって書いてあるから1.2.3.400ってEC2のIPで抜ける方法があるのかと思ったけどこれALBのIP？

[bosatsumiroku]

証明書検証をこんな風に理解しちゃう云十年選手もいるのね🤔偏りのない知識は重要ですね。

[tyoro1210]

これ Chrome のアクセス時に警告出なかったんだろうか。 「警告を無視して無理やり繋ぐ」=「証明書の信頼性を無視してhttps通信を行う」みたいなのが何故成り立つのか 的な話しよね。

[tmatsuu]

ALBに限らずApacheの最初のVirtualHostやnginxなどのリバースプロキシでdefault_serverを作った場合も同様。「直アドレスはSSLで失敗して終了」はSNIで渡してないからcurlが自主的にエラーにしてるだけ。ですね。

[getcha]

無邪気な実験で、自分が普段、自然と避けている RFCで規定されてないリクエストも送っていて「そう動くのか」と勉強になった。

[queeuq]

んんん？なんか証明書を根本的に勘違いしてるな。追記２の理解もなんか不思議。インフラ屋ならもう少しでも本とか読んだほうが良いと思う。/あ、エイプリルフールか（棒

[ngsw]

curlのinsecureオプションの話題

[Shinwiki]

これAWS関係なくね

[n_231]

みんな詳しいなぁ

[kazema_tsu]

逆にドメインマッチさせてないの？って思ってしまうんですが、こんなもんですか？

[harumaki_net]

“Default Action : TargetGroup へ”の設定ならグローバルIP指定でのリクエストを受け付けるし、AWSでなくても普通の動作かなと。

[atori07]

“た。 ”

[knjname]

ACMやALB関係なくHTTPS終端させてるNginxとかでTLS証明書が対応してないホスト名につなぎに行ってブラウザ警告が出るのとか目にしたことないかな

[tito1201]

興味が湧いて関連の RFC をチラ見したんだけど、そもそも SSL/TLS のハンドシェイクにおいて、サーバ証明書は必須というわけではないのね… (RFC 6101 の 5.6.2 とか RFC 5246 の 7.4.2. とか)。ううむ、奥が深い。

[odakaho]

ALBのエンドポイント直でも通りそうな？