Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SSLconfigurations de négociation pour les équilibreurs de charge classiques
Elastic Load Balancing utilise une configuration de négociation Secure Socket Layer (SSL), connue sous le nom de politique de sécurité, pour négocier les SSL connexions entre un client et l'équilibreur de charge. Une politique de sécurité est une combinaison de SSL protocoles, de SSL chiffrements et de l'option de préférence d'ordre du serveur. Pour plus d'informations sur la configuration d'une SSL connexion pour votre équilibreur de charge, consultezÉcouteurs de votre Classic Load Balancer.
Table des matières
Stratégies de sécurité
Une politique de sécurité détermine quels chiffrements et protocoles sont pris en charge lors des SSL négociations entre un client et un équilibreur de charge. Vous pouvez configurer vos Classic Load Balancers pour qu'ils utilisent des stratégies de sécurité prédéfinies ou personnalisées.
Notez qu'un certificat fourni par AWS Certificate Manager (ACM) contient une clé RSA publique. Par conséquent, vous devez inclure une suite de chiffrement RSA à utiliser dans votre politique de sécurité si vous utilisez un certificat fourni par ACM ; sinon, la TLS connexion échoue.
Politiques de sécurité prédéfinies
Les noms des stratégies de sécurité prédéfinies les plus récentes comportent des informations de version basées sur l'année et le mois de la mise à disposition de celles-ci. Par exemple, la stratégie de sécurité prédéfinie par défaut est ELBSecurityPolicy-2016-08. Chaque fois qu'une nouvelle stratégie de sécurité prédéfinie est mise à disposition, vous pouvez mettre à jour votre configuration pour l'utiliser.
Pour plus d'informations sur les protocoles et les chiffrements activés pour les stratégies de sécurité prédéfinies, consultez Politiques SSL de sécurité prédéfinies pour les équilibreurs de charge classiques.
Politiques de sécurité personnalisées
Vous pouvez créer une configuration de négociation personnalisée avec les chiffrements et les protocoles dont vous avez besoin. Par exemple, certaines normes de conformité en matière de sécurité (telles que PCI etSOC) peuvent nécessiter un ensemble spécifique de protocoles et de chiffrements pour garantir le respect des normes de sécurité. Dans de tels cas, vous pouvez créer une stratégie de sécurité personnalisée afin de répondre à ces normes.
Pour plus d'informations sur la création d'une stratégie personnalisée, consultez Mettez à jour la configuration de SSL négociation de votre Classic Load Balancer.
SSLprotocoles
Le SSLprotocole établit une connexion sécurisée entre un client et un serveur et garantit que toutes les données transmises entre le client et votre équilibreur de charge sont privées.
Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont des protocoles cryptographiques utilisés pour chiffrer des données confidentielles sur des réseaux non sécurisés tels qu'Internet. Le TLS protocole est une version plus récente du SSL protocole. Dans la documentation d'Elastic Load Balancing, nous appelons « protocole » à la fois SSL et « TLS SSL protocoles ».
Protocole recommandé
Nous recommandons la TLS version 1.2, qui est utilisée dans la politique de ELBSecurityPolicy sécurité prédéfinie TLS -1-2-2017-01. Vous pouvez également utiliser la TLS version 1.2 dans vos politiques de sécurité personnalisées. La politique de sécurité par défaut prend en charge les versions TLS 1.2 et antérieures deTLS, elle est donc moins sécurisée que ELBSecurityPolicy - TLS -1-2-2017-01.
Protocole obsolète
Si vous avez précédemment activé le protocole SSL 2.0 dans une politique personnalisée, nous vous recommandons de mettre à jour votre politique de sécurité vers l'une des politiques de sécurité prédéfinies.
Préférence pour l'ordre des serveurs
Elastic Load Balancing prend en charge l'option Préférence pour l'ordre des serveurs pour négocier des connexions entre un client et un équilibreur de charge. Au cours du processus de négociation de SSL connexion, le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles qu'ils prennent en charge, par ordre de préférence. Par défaut, le premier chiffre de la liste du client qui correspond à l'un des chiffrements de l'équilibreur de charge est sélectionné pour la connexion. SSL Si l'équilibreur de charge est configuré pour prendre en charge la préférence pour l'ordre des serveurs, il sélectionne le premier chiffrement de sa liste figurant dans la liste de chiffrements du client. Cela garantit que l'équilibreur de charge détermine le chiffrement utilisé pour SSL la connexion. Si vous n'autorisez pas la préférence pour l'ordre des serveurs, l'ordre de chiffrements présenté par le client est utilisé pour négocier des connexions entre le client et l'équilibreur de charge.
SSLchiffrements
Un SSLchiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. SSLles protocoles utilisent plusieurs SSL chiffrements pour chiffrer les données sur Internet.
Notez qu'un certificat fourni par AWS Certificate Manager (ACM) contient une clé RSA publique. Par conséquent, vous devez inclure une suite de chiffrement RSA à utiliser dans votre politique de sécurité si vous utilisez un certificat fourni par ACM ; sinon, la TLS connexion échoue.
Elastic Load Balancing prend en charge les chiffrements suivants pour une utilisation avec des Elastic Load Balancers. Un sous-ensemble de ces chiffrements est utilisé par les politiques prédéfinies. SSL Tous ces chiffrements sont disponibles pour être utilisés dans une stratégie personnalisée. Nous vous recommandons d'utiliser uniquement les chiffrements inclus dans la stratégie de sécurité par défaut (ceux avec un astérisque). Beaucoup d'autres chiffrements ne sont pas sûrs et doivent être utilisés à vos risques et périls.
Chiffrements
-
ECDHE-ECDSA-AES128-GCM-SHA256 *
-
ECDHE-RSA-AES128-GCM-SHA256 *
-
ECDHE-ECDSA-AES128-SHA256 *
-
ECDHE-RSA-AES128-SHA256 *
-
ECDHE-ECDSA-AES128-SHA *
-
ECDHE-RSA-AES128-SHA *
-
DHE-RSA-AES128-SHA
-
ECDHE-ECDSA-AES256-GCM-SHA384 *
-
ECDHE-RSA-AES256-GCM-SHA384 *
-
ECDHE-ECDSA-AES256-SHA384 *
-
ECDHE-RSA-AES256-SHA384 *
-
ECDHE-RSA-AES256-SHA *
-
ECDHE-ECDSA-AES256-SHA *
-
AES128-GCM-SHA256 *
-
AES128-SHA256 *
-
AES128-SHA *
-
AES256-GCM-SHA384 *
-
AES256-SHA256 *
-
AES256-SHA *
-
DHE-DSS-AES128-SHA
-
CAMELLIA128-SHA
-
EDH-RSA-DES-CBC3-SHA
-
DES-CBC3-SHA
-
ECDHE-RSA-RC4-SHA
-
RC4-SHA
-
ECDHE-ECDSA-RC4-SHA
-
DHE-DSS-AES256-GCM-SHA384
-
DHE-RSA-AES256-GCM-SHA384
-
DHE-RSA-AES256-SHA256
-
DHE-DSS-AES256-SHA256
-
DHE-RSA-AES256-SHA
-
DHE-DSS-AES256-SHA
-
DHE-RSA-CAMELLIA256-SHA
-
DHE-DSS-CAMELLIA256-SHA
-
CAMELLIA256-SHA
-
EDH-DSS-DES-CBC3-SHA
-
DHE-DSS-AES128-GCM-SHA256
-
DHE-RSA-AES128-GCM-SHA256
-
DHE-RSA-AES128-SHA256
-
DHE-DSS-AES128-SHA256
-
DHE-RSA-CAMELLIA128-SHA
-
DHE-DSS-CAMELLIA128-SHA
-
ADH-AES128-GCM-SHA256
-
ADH-AES128-SHA
-
ADH-AES128-SHA256
-
ADH-AES256-GCM-SHA384
-
ADH-AES256-SHA
-
ADH-AES256-SHA256
-
ADH-CAMELLIA128-SHA
-
ADH-CAMELLIA256-SHA
-
ADH-DES-CBC3-SHA
-
ADH-DES-CBC-SHA
-
ADH-RC4-MD5
-
ADH-SEED-SHA
-
DES-CBC-SHA
-
DHE-DSS-SEED-SHA
-
DHE-RSA-SEED-SHA
-
EDH-DSS-DES-CBC-SHA
-
EDH-RSA-DES-CBC-SHA
-
IDEA-CBC-SHA
-
RC4-MD5
-
SEED-SHA
-
DES-CBC3-MD5
-
DES-CBC-MD5
-
RC2-CBC-MD5
-
PSK-AES256-CBC-SHA
-
PSK-3 DES - EDE - CBC - SHA
-
KRB5-DES-CBC3-SHA
-
KRB5-DES-CBC3-MD5
-
PSK-AES128-CBC-SHA
-
PSK-RC4-SHA
-
KRB5-RC4-SHA
-
KRB5-RC4-MD5
-
KRB5-DES-CBC-SHA
-
KRB5-DES-CBC-MD5
-
EXP-EDH-RSA-DES-CBC-SHA
-
EXP-EDH-DSS-DES-CBC-SHA
-
EXP-ADH-DES-CBC-SHA
-
EXP-DES-CBC-SHA
-
EXP-RC2-CBC-MD5
-
EXP-KRB5-RC2-CBC-SHA
-
EXP-KRB5-DES-CBC-SHA
-
EXP-KRB5-RC2-CBC-MD5
-
EXP-KRB5-DES-CBC-MD5
-
EXP-ADH-RC4-MD5
-
EXP-RC4-MD5
-
EXP-KRB5-RC4-SHA
-
EXP-KRB5-RC4-MD5
* Ce sont les chiffrements inclus dans la politique de sécurité par défaut, ELBSecurityPolicy -2016-08.
