Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
SSLconfigurazioni di negoziazione per Classic Load Balancer
Elastic Load Balancing utilizza una configurazione di negoziazione Secure Socket Layer (SSL), nota come policy di sicurezza, per negoziare SSL le connessioni tra un client e il load balancer. Una policy di sicurezza è una combinazione di SSL protocolli, SSL cifrari e l'opzione Server Order Preference. Per ulteriori informazioni sulla configurazione di una SSL connessione per il sistema di bilanciamento del carico, consulta. Listener per il Classic Load Balancer
Policy di sicurezza
Una politica di sicurezza determina quali cifrari e protocolli sono supportati durante le SSL negoziazioni tra un client e un sistema di bilanciamento del carico. Puoi configurare i Classic Load Balancer per utilizzare policy predefinite o policy di sicurezza personalizzate.
Nota che un certificato fornito da AWS Certificate Manager (ACM) contiene una RSA chiave pubblica. Pertanto, è necessario includere una suite di crittografia che utilizzi RSA nella politica di sicurezza se si utilizza un certificato fornito daACM; in caso contrario, la TLS connessione fallisce.
Policy di sicurezza predefinite
I nomi delle policy di sicurezza predefinite più recenti includono informazioni sulla versione in base all'anno e al mese in cui sono state rilasciate. Ad esempio, la policy di sicurezza predefinita di default è ELBSecurityPolicy-2016-08
. Ogni volta che una nuova policy di sicurezza predefinita viene rilasciata, puoi aggiornare la configurazione per utilizzarla.
Per informazioni sui protocolli e le crittografie abilitate per le policy di sicurezza predefinite, consulta Politiche di sicurezza predefinite SSL per Classic Load Balancers.
Policy di sicurezza personalizzate
Puoi creare una configurazione di negoziazione personalizzata con le crittografie e i protocolli che ti servono. Ad esempio, alcuni standard di conformità alla sicurezza (come PCI eSOC) potrebbero richiedere un set specifico di protocolli e codici per garantire il rispetto degli standard di sicurezza. In questi casi, puoi creare una policy di sicurezza personalizzata per soddisfare tali standard.
Per informazioni sulla creazione di una policy di sicurezza personalizzata, consulta Aggiorna la configurazione di SSL negoziazione del tuo Classic Load Balancer.
SSLprotocolli
Il SSLprotocollo stabilisce una connessione sicura tra un client e un server e garantisce che tutti i dati trasmessi tra il client e il sistema di bilanciamento del carico siano privati.
Secure Sockets Layer (SSL) e Transport Layer Security (TLS) sono protocolli crittografici utilizzati per crittografare dati riservati su reti non sicure come Internet. Il TLS protocollo è una versione più recente del protocollo. SSL Nella documentazione di Elastic Load Balancing, facciamo riferimento a entrambi SSL i TLS protocolli come protocollo. SSL
Protocollo consigliato
Consigliamo il TLS 1.2, che viene utilizzato nella politica di sicurezza predefinita ELBSecurityPolicy - TLS -1-2-2017-01. È inoltre possibile utilizzare TLS 1.2 nelle politiche di sicurezza personalizzate. La politica di sicurezza predefinita supporta sia la TLS 1.2 che le versioni precedenti diTLS, quindi è meno sicura di ELBSecurityPolicy - TLS -1-2-2017-01.
Protocollo obsoleto
Se in precedenza hai abilitato il protocollo SSL 2.0 in una politica personalizzata, ti consigliamo di aggiornare la politica di sicurezza con una delle politiche di sicurezza predefinite.
Preferenza ordine server
Elastic Load Balancing supporta l'opzione Preferenza ordine server per la negoziazione delle connessioni tra un client e un load balancer. Durante il processo di negoziazione della SSL connessione, il client e il sistema di bilanciamento del carico presentano un elenco di cifrari e protocolli supportati ciascuno, in ordine di preferenza. Per impostazione predefinita, per la connessione viene selezionata la prima cifra dell'elenco del client che corrisponde a uno qualsiasi dei codici del sistema di bilanciamento del carico. SSL Se il load balancer è configurato per supportare l'opzione Preferenza ordine server, seleziona la prima crittografia nel suo elenco che si trova nell'elenco di crittografie del client. Ciò garantisce che il load balancer determini quale cifrario viene utilizzato per la connessione. SSL Se l'opzione Preferenza ordine server non è abilitata, l'ordine delle cifrature presentate dal client viene utilizzato per negoziare le connessioni tra il client e il load balancer.
SSLcifrari
Un SSLcodice è un algoritmo di crittografia che utilizza chiavi di crittografia per creare un messaggio in codice. SSLi protocolli utilizzano diversi codici SSL per crittografare i dati su Internet.
Nota che un certificato fornito da AWS Certificate Manager (ACM) contiene una RSA chiave pubblica. Pertanto, è necessario includere una suite di crittografia che utilizzi RSA nella politica di sicurezza se si utilizza un certificato fornito daACM; in caso contrario, la TLS connessione fallisce.
Elastic Load Balancing supporta le seguenti crittografie da utilizzare con Classic Load Balancer. Un sottoinsieme di questi codici viene utilizzato dalle politiche predefinite. SSL Tutte queste crittografie sono disponibili per l'utilizzo in un criterio personalizzato. Ti consigliamo di utilizzare solo le crittografie incluse nella policy di sicurezza di default (quelle con un asterisco). Molte altre crittografie non sono sicure e il loro utilizzo è a proprio rischio.
Crittografie
-
ECDHE-ECDSA-AES128-GCM-SHA256 *
-
ECDHE-RSA-AES128-GCM-SHA256 *
-
ECDHE-ECDSA-AES128-SHA256 *
-
ECDHE-RSA-AES128-SHA256 *
-
ECDHE-ECDSA-AES128-SHA *
-
ECDHE-RSA-AES128-SHA *
-
DHE-RSA-AES128-SHA
-
ECDHE-ECDSA-AES256-GCM-SHA384 *
-
ECDHE-RSA-AES256-GCM-SHA384 *
-
ECDHE-ECDSA-AES256-SHA384 *
-
ECDHE-RSA-AES256-SHA384 *
-
ECDHE-RSA-AES256-SHA *
-
ECDHE-ECDSA-AES256-SHA *
-
AES128-GCM-SHA256 *
-
AES128-SHA256 *
-
AES128-SHA *
-
AES256-GCM-SHA384 *
-
AES256-SHA256 *
-
AES256-SHA *
-
DHE-DSS-AES128-SHA
-
CAMELLIA128-SHA
-
EDH-RSA-DES-CBC3-SHA
-
DES-CBC3-SHA
-
ECDHE-RSA-RC4-SHA
-
RC4-SHA
-
ECDHE-ECDSA-RC4-SHA
-
DHE-DSS-AES256-GCM-SHA384
-
DHE-RSA-AES256-GCM-SHA384
-
DHE-RSA-AES256-SHA256
-
DHE-DSS-AES256-SHA256
-
DHE-RSA-AES256-SHA
-
DHE-DSS-AES256-SHA
-
DHE-RSA-CAMELLIA256-SHA
-
DHE-DSS-CAMELLIA256-SHA
-
CAMELLIA256-SHA
-
EDH-DSS-DES-CBC3-SHA
-
DHE-DSS-AES128-GCM-SHA256
-
DHE-RSA-AES128-GCM-SHA256
-
DHE-RSA-AES128-SHA256
-
DHE-DSS-AES128-SHA256
-
DHE-RSA-CAMELLIA128-SHA
-
DHE-DSS-CAMELLIA128-SHA
-
ADH-AES128-GCM-SHA256
-
ADH-AES128-SHA
-
ADH-AES128-SHA256
-
ADH-AES256-GCM-SHA384
-
ADH-AES256-SHA
-
ADH-AES256-SHA256
-
ADH-CAMELLIA128-SHA
-
ADH-CAMELLIA256-SHA
-
ADH-DES-CBC3-SHA
-
ADH-DES-CBC-SHA
-
ADH-RC4-MD5
-
ADH-SEED-SHA
-
DES-CBC-SHA
-
DHE-DSS-SEED-SHA
-
DHE-RSA-SEED-SHA
-
EDH-DSS-DES-CBC-SHA
-
EDH-RSA-DES-CBC-SHA
-
IDEA-CBC-SHA
-
RC4-MD5
-
SEED-SHA
-
DES-CBC3-MD5
-
DES-CBC-MD5
-
RC2-CBC-MD5
-
PSK-AES256-CBC-SHA
-
PSK-3 - - - DES EDE CBC SHA
-
KRB5-DES-CBC3-SHA
-
KRB5-DES-CBC3-MD5
-
PSK-AES128-CBC-SHA
-
PSK-RC4-SHA
-
KRB5-RC4-SHA
-
KRB5-RC4-MD5
-
KRB5-DES-CBC-SHA
-
KRB5-DES-CBC-MD5
-
EXP-EDH-RSA-DES-CBC-SHA
-
EXP-EDH-DSS-DES-CBC-SHA
-
EXP-ADH-DES-CBC-SHA
-
EXP-DES-CBC-SHA
-
EXP-RC2-CBC-MD5
-
EXP-KRB5-RC2-CBC-SHA
-
EXP-KRB5-DES-CBC-SHA
-
EXP-KRB5-RC2-CBC-MD5
-
EXP-KRB5-DES-CBC-MD5
-
EXP-ADH-RC4-MD5
-
EXP-RC4-MD5
-
EXP-KRB5-RC4-SHA
-
EXP-KRB5-RC4-MD5
* Questi sono i codici inclusi nella politica di sicurezza predefinita, ELBSecurityPolicy -2016-08.