Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazioni della negoziazione SSL per Classic Load Balancer
Elastic Load Balancing utilizza una configurazione di negoziazione Secure Socket Layer (SSL), nota come policy di sicurezza, per negoziare le connessioni SSL tra un client e il load balancer. Una policy di sicurezza è una combinazione di protocolli SSL, crittografie SSL e l'opzione Preferenza ordine server. Per ulteriori informazioni sulla configurazione di una connessione SSL per il load balancer, consulta Listener per il Classic Load Balancer.
Policy di sicurezza
Una policy di sicurezza determina quali crittografie e protocolli sono supportati durante le negoziazioni SSL tra un client e un load balancer. Puoi configurare i Classic Load Balancer per utilizzare policy predefinite o policy di sicurezza personalizzate.
Tieni presente che un certificato fornito da AWS Certificate Manager (ACM) contiene una chiave pubblica RSA. Pertanto, se si utilizza un certificato fornito da ACM, nella policy di sicurezza occorre includere una suite di crittografia che utilizza RSA. In caso contrario, la connessione TLS non riesce.
Policy di sicurezza predefinite
I nomi delle policy di sicurezza predefinite più recenti includono informazioni sulla versione in base all'anno e al mese in cui sono state rilasciate. Ad esempio, la policy di sicurezza predefinita di default è ELBSecurityPolicy-2016-08. Ogni volta che una nuova policy di sicurezza predefinita viene rilasciata, puoi aggiornare la configurazione per utilizzarla.
Per informazioni sui protocolli e le crittografie abilitate per le policy di sicurezza predefinite, consulta Policy di sicurezza SSL predefinite per Classic Load Balancer.
Policy di sicurezza personalizzate
Puoi creare una configurazione di negoziazione personalizzata con le crittografie e i protocolli che ti servono. Ad esempio, alcuni standard di conformità in materia di sicurezza (ad esempio PCI e SOC) potrebbero richiedere un set di protocolli e crittografie specifico per assicurare che gli standard di sicurezza vengano soddisfatti. In questi casi, puoi creare una policy di sicurezza personalizzata per soddisfare tali standard.
Per informazioni sulla creazione di una policy di sicurezza personalizzata, consulta Aggiornamento della configurazione di negoziazione SSL di Classic Load Balancer.
Protocolli SSL
Il protocollo SSL stabilisce una connessione sicura tra un client e un server e garantisce che tutti i dati trasferiti tra il client e il load balancer siano privati.
Secure Sockets Layer (SSL) e Transport Layer Security (TLS) sono protocolli di crittografia che vengono utilizzati per crittografare i dati riservati su reti non sicure, ad esempio Internet. Il protocollo TLS è una versione più recente del protocollo SSL. Nella documentazione Elastic Load Balancing, facciamo riferimento a entrambi i protocolli SSL e TLS come al protocollo SSL.
Protocollo consigliato
Consigliamo TLS 1.2, che viene utilizzato nella politica di sicurezza predefinita ELBSecurity Policy-TLS-1-2-2017-01. Puoi anche utilizzare TLS 1.2 nelle tue policy di sicurezza personalizzate. La politica di sicurezza predefinita supporta sia TLS 1.2 che le versioni precedenti di TLS, quindi è meno sicura di Policy-TLS-1-2-2017-01. ELBSecurity
Protocollo obsoleto
Se in precedenza hai abilitato il protocollo SSL 2.0 in una policy personalizzata, ti consigliamo di aggiornare la policy di sicurezza a una di quelle predefinite di default.
Preferenza ordine server
Elastic Load Balancing supporta l'opzione Preferenza ordine server per la negoziazione delle connessioni tra un client e un load balancer. Durante il processo di negoziazione della connessione SSL, il client e il load balancer forniscono un elenco di crittografie e protocolli supportati, in ordine di preferenza. Per impostazione predefinita, la prima crittografia nell'elenco del client che corrisponde a una qualsiasi delle crittografie del load balancer viene selezionata per la connessione SSL. Se il load balancer è configurato per supportare l'opzione Preferenza ordine server, seleziona la prima crittografia nel suo elenco che si trova nell'elenco di crittografie del client. In questo modo il load balancer determina quale crittografia viene utilizzata per la connessione SSL. Se l'opzione Preferenza ordine server non è abilitata, l'ordine delle cifrature presentate dal client viene utilizzato per negoziare le connessioni tra il client e il load balancer.
Crittografie SSL
Una crittografia SSL è un algoritmo di crittografia che utilizza chiavi di crittografia per creare un messaggio codificato. I protocolli SSL utilizzano diverse crittografie SSL per crittografare i dati su Internet.
Tieni presente che un certificato fornito da (ACM) contiene una chiave pubblica RSA. AWS Certificate Manager Pertanto, se si utilizza un certificato fornito da ACM, nella policy di sicurezza occorre includere una suite di crittografia che utilizza RSA. In caso contrario, la connessione TLS non riesce.
Elastic Load Balancing supporta le seguenti crittografie da utilizzare con Classic Load Balancer. Un sottoinsieme di queste crittografie viene utilizzato dalle policy SSL predefinite. Tutte queste crittografie sono disponibili per l'utilizzo in un criterio personalizzato. Ti consigliamo di utilizzare solo le crittografie incluse nella policy di sicurezza di default (quelle con un asterisco). Molte altre crittografie non sono sicure e il loro utilizzo è a proprio rischio.
Crittografie
-
ECDHE-ECDSA- -GCM- * AES128 SHA256
-
ECDH-RSA- AES128 -GCM- * SHA256
-
ECDHE-ECSA AES128 - - * SHA256
-
ECDHE-RSA- AES128 - * SHA256
-
ECDHE-ECDSA AES128 - -SHA *
-
ECDHE-RSA- AES128 -SHA *
-
DH-RSA- AES128 -SHA
-
ECDHE-ECDSA- AES256 -GCM- * SHA384
-
ECDH-RSA- AES256 -GCM- * SHA384
-
ECDHE-ECSA AES256 - - * SHA384
-
ECDHE-RSA- AES256 - * SHA384
-
ECDHE-RSA AES256 - -SHA *
-
ECDHE-ECDSA- AES256 -SHA *
-
AES128-GCM- * SHA256
-
AES128-SHA256 *
-
AES128-SHA *
-
AES256-GCM- * SHA384
-
AES256-SHA256 *
-
AES256-SHA *
-
SHE-DSS- -SHA AES128
-
CAMELLIA128-SHA
-
EDH-RSA-DES- -SHA CBC3
-
DES- CBC3 -SHA
-
ECDHE-RSA- -SHA RC4
-
RC4-SHA
-
ECDHE-ECDSA- -SHA RC4
-
DHE-DSS- -GCM- AES256 SHA384
-
DHE-RSA- AES256 -GCM- SHA384
-
DHE-RSA AES256 - - SHA256
-
DHE-SS- AES256 - SHA256
-
DHE-RSA- -SHA AES256
-
DHE-SS- AES256 -SHA
-
DHE-RSA- CAMELLIA256 -SHA
-
DHE-SS- CAMELLIA256 -SHA
-
CAMELLIA256-SHA
-
EDH-DSS-DE-SHA CBC3
-
AES128DHE-DSS-GCM- SHA256
-
DHE-RSA- AES128 -GCM- SHA256
-
DHE-RSA AES128 - - SHA256
-
DHE-SS- AES128 - SHA256
-
DHE-RSA- -SHA CAMELLIA128
-
DHE-SS- CAMELLIA128 -SHA
-
AH- AES128 -GCM- SHA256
-
ADH- -SHA AES128
-
ADH- - AES128 SHA256
-
ADH- -GCM- AES256 SHA384
-
ADH- -SHA AES256
-
ADH- - AES256 SHA256
-
ADH- -SHA CAMELLIA128
-
ADH- -SHA CAMELLIA256
-
ADH-DES- -SHA CBC3
-
ADH-DES-CBC-SHA
-
ADH RC4 - - MD5
-
ADH-SEED-SHA
-
DES-CBC-SHA
-
DHE-DSS-SEED-SHA
-
DHE-RSA-SEED-SHA
-
EDH-DSS-DES-CBC-SHA
-
EDH-RSA-DES-CBC-SHA
-
IDEA-CBC-SHA
-
RC4-MD5
-
SEED-SHA
-
DES- - CBC3 MD5
-
DES-CBC- MD5
-
RC2-CBC- MD5
-
PSK- -CBC-SHA AES256
-
PSK-3DES-EDE-CBC-SHA
-
KRB5CBC3-DES- -SHA
-
KRB5-DA- - CBC3 MD5
-
PSK- -CBC-SHA AES128
-
PSK- RC4 -SHA
-
KRB5RC4- -SHA
-
KRB5-RC4-MD5
-
KRB5-DES-CBC-SHA
-
KRB5-DES-CBC- MD5
-
EXP-EDH-RSA-DES-CBC-SHA
-
EXP-EDH-DSS-DES-CBC-SHA
-
EXP-ADH-DES-CBC-SHA
-
EXP-DES-CBC-SHA
-
EXP- -CBC- RC2 MD5
-
EXP- - -CBC-SHA KRB5 RC2
-
EXP KRB5 - -DE-CBC-SHA
-
EXP- KRB5 - -CBC RC2 - MD5
-
EXP- -DE-CBC- KRB5 MD5
-
RC4EXP-ADH- - MD5
-
EXP- - RC4 MD5
-
EXP- - KRB5 -SHA RC4
-
EXP- - - KRB5 RC4 MD5
* Questi sono i codici inclusi nella politica di sicurezza predefinita, Policy-2016-08. ELBSecurity
