Menonaktifkan TLS 1.0 dan TLS 1.1 pada HTTPS loadbalancer di cloud AWS
TLSv1.0 dan TLSv1.1 sudah deprecated di bulan Maret 2021. Artinya sudah tidak aman untuk digunakan karena ada beberapa issue terkait security (bisa dicari digoogle dengan keyword: tls 1.0 and tls 1.1 risk).
Menonaktifkan TLS 1.0 dan TLS 1.1 pada Loadbalancer
Nah, buat kalian yang menggunakan Loadbalancer di cloud AWS dan akses aplikasinya menggunakan HTTPS, pastikan TLS 1.0 dan 1.1 sudah dinonaktifkan. Jika belum, silahkan ikuti tutorial ini (note: disini saya menggunakan Application Load Balancer)
Masuk ke dashboard EC2, pada menu sebelah kiri, scroll kebawah pilih Load Balancing -> Load balancers.
Setelah itu pilih loadbalancernya, pilih Tab Listeners dan rules, pilih HTTPS (443), Manage Listener dan Edit Listener
Scroll kebawah, pada bagian Security Policy ubah menjadi ELBSecurityPolicy-TLS-1-2-2017-01
dan klik Save Changes.
Bisa dilihat diatas, kita mengeset Security Policy untuk HTTPS/SSL menjadi ELBSecurityPolicy-TLS-1-2-2017-01
. Didalam security policy tersebut terdapat aturan tentang protokol TLS dan cipher yang digunakan. Detailnya bisa dilihat disini.
Sebagai contoh saya copas List Security Policy-nya kesini, sebelumnya kita sudah mengeset Security policy-nya menjadi ELBSecurityPolicy-TLS-1-2-2017-01
, artinya kita menggunakan Security policy: TLS-1-2-2017-01 seperti tabel dibawah:
TLS-1-2-2017-01, artinya kita hanya menggunakan protokol TLSv1.2 saja dan tidak menggunakan protokol TLSv1.0 dan TLSv1.2.
Cek TLS 1.0 dan 1.1 apakah masih aktif?
Setelah kita ubah Policynya ke ELBSecurityPolicy-TLS-1-2-2017-01
, seharusnya TLS 1.0 dan 1.1 sudah tidak aktif. Tapi kita perlu pastikan lagi. Saya lakukan scan ulang TLSnya menggunakan software sslscan
(saya menggunakan Ubuntu).
Jika sslscan belum diisinstal, Anda bisa menginstalnya dengan command berikut:
$ apt-get install sslscan
Lalu lakukan scan ke website yang dituju:
$ sslscan https://<websitenya.com>
Bisa dilihat pada gambar diatas, TLSv1.0 dan TLSv.1.1 sudah tidak aktif / disabled
, dan untuk TLSv1.2 menjadi enabled. Good.
Kesimpulan
- TLS 1.0 dan 1.1 sudah deprecated dan tidak aman untuk digunakan
- TLS 1.0 dan 1.1 bisa dinonaktifkan pada HTTPS loadbalancer di AWS dengan cara mengubah security policynya
- Untuk mengetest versi TLS, bisa menggunakan software
sslscan
di Ubuntu
—
Demikianlah tutorial Menonaktifkan TLS 1.0 dan TLS 1.1 pada LoadBalancer di cloud AWS. Semoga bermanfaat!