Configurações de negociação SSL para balanceadores de carga clássicos - Elastic Load Balancing
Políticas de segurançaProtocolos SSLPreferência ditada pelo servidorCodificações SSL

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurações de negociação SSL para balanceadores de carga clássicos

O Elastic Load Balancing usa uma configuração de negociação com Secure Sockets Layer (SSL), conhecida como política de segurança, para negociar conexões SSL entre um cliente e o balanceador de carga. A política de segurança é uma combinação de protocolos SSL, cifras SSL e a opção Preferência ditada pelo servidor. Para obter mais informações sobre como configurar uma conexão SSL para seu load balancer, consulte Listeners para seu Classic Load Balancer.

Políticas de segurança

Uma política de segurança determina quais cifras e protocolos são suportados nas negociações SSL entre um cliente e um load balancer. Você pode configurar os balanceadores de carga clássicos para usar políticas de segurança predefinidas ou personalizadas.

Observe que um certificado fornecido pelo AWS Certificate Manager (ACM) contém uma chave pública RSA. Portanto, você deve incluir um pacote de criptografia que use RSA na sua política de segurança, caso use um certificado fornecido pelo ACM. Caso contrário, a conexão TLS falhará.

Políticas de segurança predefinidas

Os nomes das políticas de segurança predefinidas mais recentes incluem informações da versão com base no ano e no mês em que foram lançadas. Por exemplo, a política de segurança padrão predefinida é ELBSecurityPolicy-2016-08. Sempre que uma nova política de segurança predefinido for liberado, você pode atualizar sua configuração para usá-la.

Para obter informações sobre os protocolos e cifras habilitados para as políticas de segurança predefinidas, consulte Políticas de segurança SSL predefinidas para balanceadores de carga clássicos.

Políticas de segurança personalizadas

Você pode criar uma configuração de negociação personalizada com as cifras e os protocolos de que você precisa. Por exemplo: alguns padrões de conformidade de segurança (como PCI e SOC) podem exigir um conjunto específico de protocolos e cifras para garantir que os padrões de segurança sejam atendidos. Nesses casos, você pode criar uma política de segurança personalizada para atender a esses padrões.

Para obter informações sobre a criação de uma política de segurança personalizada, consulte Atualizar a configuração de negociação SSL do seu Classic Load Balancer.

Protocolos SSL

O protocolo SSL estabelece uma conexão segura entre um cliente e um servidor, além de garantir que todos os dados passados entre o cliente e o load balancer sejam privados.

Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos de criptografia usados para criptografar dados confidenciais em redes não seguras, como a Internet. O protocolo TLS é uma versão mais recente do protocolo SSL. Na documentação do Elastic Load Balancing, nós nos referimos à documentação dos protocolos SSL e TLS como protocolo SSL.

Protocolo recomendado

Recomendamos o TLS 1.2, que é usado na política de segurança predefinida ELBSecurity Policy-TLS-1-2-2017-01. Você também pode usar o TLS 1.2 em suas políticas personalizadas de segurança. A política de segurança padrão oferece suporte ao TLS 1.2 e às versões anteriores do TLS, portanto, é menos ELBSecurity segura do que a Policy-TLS-1-2-2017-01.

Protocolo descontinuado

Caso tenha habilitado o protocolo SSL 2.0 anteriormente em uma política personalizada, recomendamos que atualize sua política de segurança para uma das políticas de segurança predefinidas.

Preferência ditada pelo servidor

O Elastic Load Balancing é compatível com a opção Server Order Preference (Preferência de ordem de servidor) para negociar conexões entre um cliente e um balanceador de carga. Durante o processo de negociação de conexão SSL, o cliente e o load balancer apresentam uma lista de cifras e protocolos que cada um suporta, em ordem de preferência. Por padrão, a primeira lista de cifras no cliente que corresponde a qualquer uma das cifras do load balancer é selecionada para a conexão SSL. Se o load balancer estiver configurado para oferecer suporte à Preferência ditada pelo servidor, o load balancer selecionará a primeira cifra de sua lista que estiver na lista de cifras do cliente. Isso garante que o load balancer determine qual cifra é usada para conexão SSL. Se você não ativar a Preferência ditada pelo servidor, a ordem das cifras apresentada pelo cliente será usada para negociar conexões entre o cliente e o load balancer.

Codificações SSL

Um cifra SSL é um algoritmo de criptografia que usa chaves de criptografia para criar uma mensagem codificada. Os protocolos SSL usam várias codificações SSL para criptografar dados pela Internet.

Observe que um certificado fornecido pelo AWS Certificate Manager (ACM) contém uma chave pública RSA. Portanto, você deve incluir um pacote de criptografia que use RSA na sua política de segurança, caso use um certificado fornecido pelo ACM. Caso contrário, a conexão TLS falhará.

O Elastic Load Balancing oferece suporte às seguintes codificações para uso com balanceadores de carga clássicos. Um subconjunto dessas cifras é usado pelas políticas SSL predefinidas. Todas essas cifras estão disponíveis para uso em uma política personalizada. Recomendamos que você use somente as cifras incluídas na política de segurança padrão (aquelas com um asterisco). Muitas das outras cifras não são seguras e devem ser usadas por sua conta e risco.

Cifras

  • ECDHE-ECDSA- -GCM- * AES128 SHA256

  • ECDHE-RSA- -GCM- * AES128 SHA256

  • ECDHE-ECDSA- - * AES128 SHA256

  • ECDHE-RSA- - * AES128 SHA256

  • ECDHE-ECDSA- -SHA * AES128

  • ECDHE-RSA- -SHA * AES128

  • DHE-RSA- -SHA AES128

  • ECDHE-ECDSA- -GCM- * AES256 SHA384

  • ECDHE-RSA- -GCM- * AES256 SHA384

  • ECDHE-ECDSA- - * AES256 SHA384

  • ECDHE-RSA- - * AES256 SHA384

  • ECDHE-RSA- -SHA * AES256

  • ECDHE-ECDSA- -SHA * AES256

  • AES128-GCM- * SHA256

  • AES128-SHA256 *

  • AES128-SHA*

  • AES256-GCM- * SHA384

  • AES256-SHA256 *

  • AES256-SHA*

  • DHE-DSS- -SHA AES128

  • CAMELLIA128-SHA

  • EDH-RSA-DES- -SHA CBC3

  • DES- CBC3 SHA

  • ECDHE-RSA- -SHA RC4

  • RC4-SHA

  • ECDHE-ECDSA- -SHA RC4

  • DHE-DSS- -GCM- AES256 SHA384

  • DHE-RSA- -GCM- AES256 SHA384

  • DHE-RSA- - AES256 SHA256

  • DHE-DSS- - AES256 SHA256

  • DHE-RSA- -SHA AES256

  • DHE-DSS- -SHA AES256

  • DHE-RSA- -SHA CAMELLIA256

  • DHE-DSS- -SHA CAMELLIA256

  • CAMELLIA256-SHA

  • EDH-DSS-DES- -SHA CBC3

  • DHE-DSS- -GCM- AES128 SHA256

  • DHE-RSA- -GCM- AES128 SHA256

  • DHE-RSA- - AES128 SHA256

  • DHE-DSS- - AES128 SHA256

  • DHE-RSA- -SHA CAMELLIA128

  • DHE-DSS- -SHA CAMELLIA128

  • ADH- AES128 -GCM- SHA256

  • ADH- -SHA AES128

  • ADH- - AES128 SHA256

  • ADH- AES256 -GCM- SHA384

  • ADH- -SHA AES256

  • ADH- - AES256 SHA256

  • ADH- -SHA CAMELLIA128

  • ADH- -SHA CAMELLIA256

  • ADH-DES- -SHA CBC3

  • ADH-DES-CBC-SHA

  • ADH- - RC4 MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES- CBC3 - MD5

  • DES-CBC- MD5

  • RC2-HEMOGRAMA- MD5

  • PSK- CBC-SHA AES256

  • PSK-3DES-EDE-CBC-SHA

  • KRB5-DES- CBC3 -SHA

  • KRB5-DES- - CBC3 MD5

  • PSK- CBC-SHA AES128

  • PSK- -SHA RC4

  • KRB5-- RC4 SHARE

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC- MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP- RC2 -CBC- MD5

  • EXP- KRB5 - -CBC-SHA RC2

  • EXP- KRB5 DES-CBC-SHA

  • EXP- KRB5 - RC2 -CBC- MD5

  • EXP- KRB5 -DES-CBC- MD5

  • EXP-ADH- - RC4 MD5

  • EXP- - RC4 MD5

  • EXP- KRB5 - -SHA RC4

  • EXP- KRB5 - - RC4 MD5

* Essas são as cifras incluídas na política de segurança padrão, ELBSecurity Policy-2016-08.