Stratégies de sécurité Protocoles SSL Préférence pour l'ordre des serveurs Chiffrements SSL

Configurations de négociation SSL pour Classic Load Balancers

Elastic Load Balancing utilise une configuration de négociation Secure Socket Layer (SSL) (ou politique de sécurité) pour négocier des connexions SSL entre un client et l'équilibreur de charge. Une stratégie de sécurité est une combinaison de protocoles SSL, de chiffrements SSL et de l'option de préférence pour l'ordre des serveurs. Pour plus d'informations sur la configuration d'une connexion SSL pour votre équilibreur de charge, consultez Écouteurs de votre Classic Load Balancer.

Stratégies de sécurité

Une stratégie de sécurité détermine les chiffrements et les protocoles pris en charge lors des négociations SSL entre un client et un équilibreur de charge. Vous pouvez configurer vos Classic Load Balancers pour qu'ils utilisent des stratégies de sécurité prédéfinies ou personnalisées.

Notez qu'un certificat fourni par AWS Certificate Manager (ACM) contient une clé publique RSA. Vous devez inclure une suite de chiffrement utilisant RSA dans votre politique de sécurité si vous utilisez un certificat fourni par ACM, sinon, la connexion TLS échouera.

Politiques de sécurité prédéfinies

Les noms des stratégies de sécurité prédéfinies les plus récentes comportent des informations de version basées sur l'année et le mois de la mise à disposition de celles-ci. Par exemple, la stratégie de sécurité prédéfinie par défaut est ELBSecurityPolicy-2016-08. Chaque fois qu'une nouvelle stratégie de sécurité prédéfinie est mise à disposition, vous pouvez mettre à jour votre configuration pour l'utiliser.

Pour plus d'informations sur les protocoles et les chiffrements activés pour les stratégies de sécurité prédéfinies, consultez Politiques de sécurité SSL prédéfinies pour les Classic Load Balancers.

Politiques de sécurité personnalisées

Vous pouvez créer une configuration de négociation personnalisée avec les chiffrements et les protocoles dont vous avez besoin. Par exemple, certaines normes de conformité en matière de sécurité (comme PCI et SOC) peuvent avoir besoin d'un jeu de protocoles et de chiffrements spécifique pour garantir que les normes de sécurité sont respectées. Dans de tels cas, vous pouvez créer une stratégie de sécurité personnalisée afin de répondre à ces normes.

Pour plus d'informations sur la création d'une stratégie personnalisée, consultez Mettre à jour la configuration de négociation SSL de votre Classic Load Balancer.

Protocoles SSL

Le protocole SSL établit une connexion sécurisée entre un client et un serveur, et s'assure que toutes les données transmises entre le client et votre équilibreur de charge sont privées.

Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont des protocoles cryptographiques utilisés pour chiffrer les données confidentielles sur des réseaux non sécurisés, comme Internet. Le protocole TLS est une version plus récente du protocole SSL. Dans la documentation Elastic Load Balancing, nous faisons référence aux protocoles SSL et TLS en tant que protocole SSL.

Protocole recommandé

Nous recommandons le protocole TLS 1.2, qui est utilisé dans la politique de sécurité prédéfinie ELBSecurity Policy-TLS-1-2-2017-01. Vous pouvez également utiliser le protocole TLS 1.2 dans vos politiques de sécurité personnalisées. La politique de sécurité par défaut prend en charge le protocole TLS 1.2 et les versions antérieures de TLS. Elle est donc moins sécurisée que ELBSecurity la politique TLS-1-2-2017-01.

Protocole obsolète

Si vous aviez activé précédemment le protocole SSL 2.0 dans une politique personnalisée, nous vous recommandons de mettre à jour votre politique de sécurité vers l'une des politiques de sécurité prédéfinies.

Préférence pour l'ordre des serveurs

Elastic Load Balancing prend en charge l'option Préférence pour l'ordre des serveurs pour négocier des connexions entre un client et un équilibreur de charge. Pendant le processus de négociation de connexion SSL, le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. Par défaut, le premier chiffrement sur la liste du client qui correspond à l'un des chiffrements de l'équilibreur de charge est sélectionné pour la connexion SSL. Si l'équilibreur de charge est configuré pour prendre en charge la préférence pour l'ordre des serveurs, il sélectionne le premier chiffrement de sa liste figurant dans la liste de chiffrements du client. L'équilibreur de charge peut ainsi déterminer quel chiffrement est utilisé pour la connexion SSL. Si vous n'autorisez pas la préférence pour l'ordre des serveurs, l'ordre de chiffrements présenté par le client est utilisé pour négocier des connexions entre le client et l'équilibreur de charge.

Chiffrements SSL

Un chiffrement SSL est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Les protocoles SSL utilisent plusieurs chiffrements SSL pour chiffrer les données sur Internet.

Elastic Load Balancing prend en charge les chiffrements suivants pour une utilisation avec des Elastic Load Balancers. Un sous-ensemble de ces chiffrements sont utilisés par les stratégies SSL prédéfinies. Tous ces chiffrements sont disponibles pour être utilisés dans une stratégie personnalisée. Nous vous recommandons d'utiliser uniquement les chiffrements inclus dans la stratégie de sécurité par défaut (ceux avec un astérisque). Beaucoup d'autres chiffrements ne sont pas sûrs et doivent être utilisés à vos risques et périls.

Chiffrements

ECDHE-ECDSA- -GCM- * AES128 SHA256
ECDHE-RSA- -GCM- * AES128 SHA256
ECDHE-ECDSA- - * AES128 SHA256
ECDHE-RSA- - * AES128 SHA256
ECDHE-ECDSA- -SHA * AES128
ECDHE-RSA- -SHA * AES128
DHE-RSA- -SHA AES128
ECDHE-ECDSA- -GCM- * AES256 SHA384
ECDHE-RSA- -GCM- * AES256 SHA384
ECDHE-ECDSA- - * AES256 SHA384
ECDHE-RSA- - * AES256 SHA384
ECDHE-RSA- -SHA * AES256
ECDHE-ECDSA- -SHA * AES256
AES128-GCM- * SHA256
AES128-SHA256 *
AES128-SHA *
AES256-GCM- * SHA384
AES256-SHA256 *
AES256-SHA *
DHE-DSS-SHA AES128
CAMELLIA128-SHA
EDH-RSA-DES-SHA CBC3
CBC3DES-SHA
ECDHE-RSA- -SHA RC4
RC4-SHA
ECDHE-ECDSA- -SHA RC4
DHE-DSS- -GCM- AES256 SHA384
DHE-RSA- -GCM- AES256 SHA384
DHE-RSA- - AES256 SHA256
DHE-DSS- - AES256 SHA256
DHE-RSA- -SHA AES256
DHE-DSS-SHA AES256
DHE-RSA- -SHA CAMELLIA256
DHE-DSS-SHA CAMELLIA256
CAMELLIA256-SHA
EDH-DSS-DES-SHA CBC3
DHE-DSS- -GCM- AES128 SHA256
DHE-RSA- -GCM- AES128 SHA256
DHE-RSA- - AES128 SHA256
DHE-DSS- - AES128 SHA256
DHE-RSA- -SHA CAMELLIA128
DHE-DSS-SHA CAMELLIA128
ADH- AES128 -GCM- SHA256
ADH- AES128 SHA
ADH- AES128 - SHA256
ADH- AES256 -GCM- SHA384
ADH- AES256 SHA
ADH- AES256 - SHA256
ADH- CAMELLIA128 SHA
ADH- CAMELLIA256 SHA
ADH-DES-SHA CBC3
ADH-DES-CBC-SHA
ADH- RC4 - MD5
ADH-SEED-SHA
DES-CBC-SHA
DHE-DSS-SEED-SHA
DHE-RSA-SEED-SHA
EDH-DSS-DES-CBC-SHA
EDH-RSA-DES-CBC-SHA
IDEA-CBC-SHA
RC4-MD5
SEED-SHA
DES- CBC3 - MD5
DES-CBC- MD5
RC2-CBC- MD5
PSK- -CBC-SHA AES256
PSK-3DES-EDE-CBC-SHA
KRB5-DES- CBC3 -SHA
KRB5-DES- - CBC3 MD5
PSK- -CBC-SHA AES128
PSK-SHA RC4
KRB5- RC4 -SHA
KRB5-RC4-MD5
KRB5-DES-CBC-SHA
KRB5-DES-CBC- MD5
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-ADH-DES-CBC-SHA
EXP-DES-CBC-SHA
EXP- RC2 -CBC- MD5
EXP- KRB5 - RC2 -CBC-SHA
EXP- -DES-CBC-SHA KRB5
EXP- KRB5 RC2 -CBC- MD5
EXP- KRB5 -DES-CBC- MD5
EXP-ADH- - RC4 MD5
EXP- - RC4 MD5
EXP- KRB5 RC4 -SHA
EXP- KRB5 - - RC4 MD5

* Il s'agit des chiffrements inclus dans la politique de sécurité par défaut, ELBSecurity Policy-2016-08.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Certificats SSL/TLS

Politiques de sécurité SSL prédéfinies