SSLkonfigurasi negosiasi untuk Classic Load Balancers - Penyeimbang Beban Elastis
Kebijakan KeamananSSLprotokolPreferensi Pesanan ServerSSLcipher

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SSLkonfigurasi negosiasi untuk Classic Load Balancers

Elastic Load Balancing menggunakan konfigurasi negosiasi Secure Socket Layer (SSL), yang dikenal sebagai kebijakan keamanan, untuk menegosiasikan SSL koneksi antara klien dan penyeimbang beban. Kebijakan keamanan adalah kombinasi dari SSL protokol, SSL cipher, dan opsi Preferensi Pesanan Server. Untuk informasi selengkapnya tentang mengonfigurasi SSL sambungan untuk penyeimbang beban, lihat. Pendengar untuk Classic Load Balancer Anda

Kebijakan Keamanan

Kebijakan keamanan menentukan sandi dan protokol mana yang didukung selama SSL negosiasi antara klien dan penyeimbang beban. Anda dapat mengonfigurasi Classic Load Balancers untuk menggunakan kebijakan keamanan yang telah ditentukan atau kustom.

Perhatikan bahwa sertifikat yang disediakan oleh AWS Certificate Manager (ACM) berisi kunci RSA publik. Oleh karena itu, Anda harus menyertakan cipher suite yang digunakan RSA dalam kebijakan keamanan Anda jika Anda menggunakan sertifikat yang disediakan olehACM; jika tidak, TLS koneksi gagal.

Kebijakan keamanan yang telah ditentukan

Nama-nama kebijakan keamanan standar terbaru mencakup informasi versi berdasarkan tahun dan bulan mereka dirilis. Misalnya, kebijakan keamanan standar default adalahELBSecurityPolicy-2016-08. Setiap kali kebijakan keamanan standar baru dirilis, Anda dapat memperbarui konfigurasi untuk menggunakannya.

Untuk informasi tentang protokol dan cipher yang diaktifkan untuk kebijakan keamanan yang telah ditetapkan, lihat. Kebijakan SSL keamanan yang telah ditentukan sebelumnya untuk Classic Load Balancers

Kebijakan keamanan khusus

Anda dapat membuat konfigurasi negosiasi khusus dengan sandi dan protokol yang Anda butuhkan. Misalnya, beberapa standar kepatuhan keamanan (seperti PCI danSOC) mungkin memerlukan seperangkat protokol dan sandi khusus untuk memastikan bahwa standar keamanan terpenuhi. Dalam kasus seperti itu, Anda dapat membuat kebijakan keamanan khusus untuk memenuhi standar tersebut.

Untuk informasi tentang membuat kebijakan keamanan khusus, lihatPerbarui konfigurasi SSL negosiasi Classic Load Balancer Anda.

SSLprotokol

SSLProtokol menetapkan koneksi aman antara klien dan server, dan memastikan bahwa semua data yang dilewatkan antara klien dan penyeimbang beban Anda bersifat pribadi.

Secure Sockets Layer (SSL) dan Transport Layer Security (TLS) adalah protokol kriptografi yang digunakan untuk mengenkripsi data rahasia melalui jaringan yang tidak aman seperti internet. TLSProtokol adalah versi SSL protokol yang lebih baru. Dalam dokumentasi Elastic Load Balancing, kami menyebut keduanya SSL dan TLS protokol sebagai protokol. SSL

Protokol yang direkomendasikan

Kami merekomendasikan TLS 1.2, yang digunakan dalam kebijakan keamanan standar ELBSecurityPolicy - TLS -1-2-2017-01. Anda juga dapat menggunakan TLS 1.2 dalam kebijakan keamanan khusus Anda. Kebijakan keamanan default mendukung versi TLS 1.2 dan versi sebelumnyaTLS, sehingga kurang aman daripada ELBSecurityPolicy - TLS -1-2-2017-01.

Protokol usang

Jika sebelumnya Anda mengaktifkan protokol SSL 2.0 dalam kebijakan khusus, sebaiknya Anda memperbarui kebijakan keamanan ke salah satu kebijakan keamanan yang telah ditentukan sebelumnya.

Preferensi Pesanan Server

Elastic Load Balancing mendukung opsi Preferensi Pesanan Server untuk menegosiasikan koneksi antara klien dan penyeimbang beban. Selama proses negosiasi SSL koneksi, klien dan penyeimbang beban menyajikan daftar sandi dan protokol yang masing-masing mereka dukung, sesuai urutan preferensi. Secara default, cipher pertama pada daftar klien yang cocok dengan salah satu cipher load balancer dipilih untuk koneksi. SSL Jika load balancer dikonfigurasi untuk mendukung Server Order Preference, maka load balancer memilih cipher pertama dalam daftarnya yang ada dalam daftar cipher klien. Ini memastikan bahwa penyeimbang beban menentukan sandi mana yang digunakan untuk koneksi. SSL Jika Anda tidak mengaktifkan Preferensi Pesanan Server, urutan cipher yang disajikan oleh klien digunakan untuk menegosiasikan koneksi antara klien dan penyeimbang beban.

SSLcipher

SSLCipher adalah algoritma enkripsi yang menggunakan kunci enkripsi untuk membuat pesan berkode. SSLProtokol menggunakan beberapa SSL cipher untuk mengenkripsi data melalui internet.

Perhatikan bahwa sertifikat yang disediakan oleh AWS Certificate Manager (ACM) berisi kunci RSA publik. Oleh karena itu, Anda harus menyertakan cipher suite yang digunakan RSA dalam kebijakan keamanan Anda jika Anda menggunakan sertifikat yang disediakan olehACM; jika tidak, TLS koneksi gagal.

Elastic Load Balancing mendukung cipher berikut untuk digunakan dengan Classic Load Balancers. Subset dari cipher ini digunakan oleh kebijakan yang telah ditentukan. SSL Semua cipher ini tersedia untuk digunakan dalam kebijakan khusus. Kami menyarankan Anda hanya menggunakan cipher yang disertakan dalam kebijakan keamanan default (yang memiliki tanda bintang). Banyak cipher lainnya tidak aman dan harus digunakan dengan risiko Anda sendiri.

Cipher

  • ECDHE-ECDSA-AES128-GCM-SHA256 *

  • ECDHE-RSA-AES128-GCM-SHA256 *

  • ECDHE-ECDSA-AES128-SHA256 *

  • ECDHE-RSA-AES128-SHA256 *

  • ECDHE-ECDSA-AES128-SHA *

  • ECDHE-RSA-AES128-SHA *

  • DHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256-GCM-SHA384 *

  • ECDHE-RSA-AES256-GCM-SHA384 *

  • ECDHE-ECDSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA *

  • ECDHE-ECDSA-AES256-SHA *

  • AES128-GCM-SHA256 *

  • AES128-SHA256 *

  • AES128-SHA *

  • AES256-GCM-SHA384 *

  • AES256-SHA256 *

  • AES256-SHA *

  • DHE-DSS-AES128-SHA

  • CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • ECDHE-RSA-RC4-SHA

  • RC4-SHA

  • ECDHE-ECDSA-RC4-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • CAMELLIA256-SHA

  • EDH-DSS-DES-CBC3-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • ADH-AES128-GCM-SHA256

  • ADH-AES128-SHA

  • ADH-AES128-SHA256

  • ADH-AES256-GCM-SHA384

  • ADH-AES256-SHA

  • ADH-AES256-SHA256

  • ADH-CAMELLIA128-SHA

  • ADH-CAMELLIA256-SHA

  • ADH-DES-CBC3-SHA

  • ADH-DES-CBC-SHA

  • ADH-RC4-MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES-CBC3-MD5

  • DES-CBC-MD5

  • RC2-CBC-MD5

  • PSK-AES256-CBC-SHA

  • PSK-3 DES - EDE - CBC SHA

  • KRB5-DES-CBC3-SHA

  • KRB5-DES-CBC3-MD5

  • PSK-AES128-CBC-SHA

  • PSK-RC4-SHA

  • KRB5-RC4-SHA

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC-MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP-RC2-CBC-MD5

  • EXP-KRB5-RC2-CBC-SHA

  • EXP-KRB5-DES-CBC-SHA

  • EXP-KRB5-RC2-CBC-MD5

  • EXP-KRB5-DES-CBC-MD5

  • EXP-ADH-RC4-MD5

  • EXP-RC4-MD5

  • EXP-KRB5-RC4-SHA

  • EXP-KRB5-RC4-MD5

* Ini adalah cipher yang termasuk dalam kebijakan keamanan default, -2016-08. ELBSecurityPolicy