SSLconfigurações de negociação para Classic Load Balancers - Elastic Load Balancing
Políticas de segurançaSSLprotocolosPreferência ditada pelo servidorSSLcifras

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

SSLconfigurações de negociação para Classic Load Balancers

O Elastic Load Balancing usa uma configuração de negociação Secure Socket Layer (SSL), conhecida como política de segurança, para negociar SSL conexões entre um cliente e o balanceador de carga. Uma política de segurança é uma combinação de SSL protocolos, SSL cifras e a opção Server Order Preference. Para obter mais informações sobre como configurar uma SSL conexão para seu balanceador de carga, consulte. Listeners para seu Classic Load Balancer

Conteúdo

Políticas de segurança

Uma política de segurança determina quais cifras e protocolos são suportados durante SSL as negociações entre um cliente e um balanceador de carga. Você pode configurar os balanceadores de carga clássicos para usar políticas de segurança predefinidas ou personalizadas.

Observe que um certificado fornecido por AWS Certificate Manager (ACM) contém uma chave RSA pública. Portanto, você deve incluir um conjunto de cifras que use RSA em sua política de segurança se você usar um certificado fornecido porACM; caso contrário, a TLS conexão falhará.

Políticas de segurança predefinidas

Os nomes das políticas de segurança predefinidas mais recentes incluem informações da versão com base no ano e no mês em que foram lançadas. Por exemplo, a política de segurança padrão predefinida é ELBSecurityPolicy-2016-08. Sempre que uma nova política de segurança predefinido for liberado, você pode atualizar sua configuração para usá-la.

Para obter informações sobre os protocolos e cifras habilitados para as políticas de segurança predefinidas, consulte Políticas de SSL segurança predefinidas.

Políticas de segurança personalizadas

Você pode criar uma configuração de negociação personalizada com as cifras e os protocolos de que você precisa. Por exemplo, alguns padrões de conformidade de segurança (como PCI eSOC) podem exigir um conjunto específico de protocolos e cifras para garantir que os padrões de segurança sejam atendidos. Nesses casos, você pode criar uma política de segurança personalizada para atender a esses padrões.

Para obter informações sobre a criação de uma política de segurança personalizada, consulte Atualize a configuração SSL de negociação do seu Classic Load Balancer.

SSLprotocolos

O SSLprotocolo estabelece uma conexão segura entre um cliente e um servidor e garante que todos os dados transmitidos entre o cliente e seu balanceador de carga sejam privados.

O Secure Sockets Layer (SSL) e o Transport Layer Security (TLS) são protocolos criptográficos usados para criptografar dados confidenciais em redes inseguras, como a Internet. O TLS protocolo é uma versão mais recente do SSL protocolo. Na documentação do Elastic Load Balancing, nos referimos a ambos TLS os SSL protocolos SSL como protocolo.

Protocolo recomendado

Recomendamos TLS 1.2, que é usado na política de segurança predefinida ELBSecurityPolicy - TLS -1-2-2017-01. Você também pode usar TLS 1.2 em suas políticas de segurança personalizadas. A política de segurança padrão oferece suporte às versões TLS 1.2 e anteriores doTLS, portanto, é menos segura do que ELBSecurityPolicy - TLS -1-2-2017-01.

Protocolo descontinuado

Se você habilitou anteriormente o protocolo SSL 2.0 em uma política personalizada, recomendamos que você atualize sua política de segurança para uma das políticas de segurança predefinidas.

Preferência ditada pelo servidor

O Elastic Load Balancing é compatível com a opção Server Order Preference (Preferência de ordem de servidor) para negociar conexões entre um cliente e um balanceador de carga. Durante o processo de negociação da SSL conexão, o cliente e o balanceador de carga apresentam uma lista de cifras e protocolos que cada um suporta, em ordem de preferência. Por padrão, a primeira cifra na lista do cliente que corresponde a qualquer uma das cifras do balanceador de carga é selecionada para a conexão. SSL Se o load balancer estiver configurado para oferecer suporte à Preferência ditada pelo servidor, o load balancer selecionará a primeira cifra de sua lista que estiver na lista de cifras do cliente. Isso garante que o balanceador de carga determine qual cifra é usada para conexão. SSL Se você não ativar a Preferência ditada pelo servidor, a ordem das cifras apresentada pelo cliente será usada para negociar conexões entre o cliente e o load balancer.

SSLcifras

Uma SSLcifra é um algoritmo de criptografia que usa chaves de criptografia para criar uma mensagem codificada. SSLos protocolos usam várias SSL cifras para criptografar dados pela Internet.

Observe que um certificado fornecido por AWS Certificate Manager (ACM) contém uma chave RSA pública. Portanto, você deve incluir um conjunto de cifras que use RSA em sua política de segurança se você usar um certificado fornecido porACM; caso contrário, a TLS conexão falhará.

O Elastic Load Balancing oferece suporte às seguintes codificações para uso com balanceadores de carga clássicos. Um subconjunto dessas cifras é usado pelas políticas predefinidas. SSL Todas essas cifras estão disponíveis para uso em uma política personalizada. Recomendamos que você use somente as cifras incluídas na política de segurança padrão (aquelas com um asterisco). Muitas das outras cifras não são seguras e devem ser usadas por sua conta e risco.

Cifras

  • ECDHE-ECDSA-AES128-GCM-SHA256 *

  • ECDHE-RSA-AES128-GCM-SHA256 *

  • ECDHE-ECDSA-AES128-SHA256 *

  • ECDHE-RSA-AES128-SHA256 *

  • ECDHE-ECDSA-AES128-SHA *

  • ECDHE-RSA-AES128-SHA *

  • DHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256-GCM-SHA384 *

  • ECDHE-RSA-AES256-GCM-SHA384 *

  • ECDHE-ECDSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA *

  • ECDHE-ECDSA-AES256-SHA *

  • AES128-GCM-SHA256 *

  • AES128-SHA256 *

  • AES128-SHA *

  • AES256-GCM-SHA384 *

  • AES256-SHA256 *

  • AES256-SHA *

  • DHE-DSS-AES128-SHA

  • CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • ECDHE-RSA-RC4-SHA

  • RC4-SHA

  • ECDHE-ECDSA-RC4-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • CAMELLIA256-SHA

  • EDH-DSS-DES-CBC3-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • ADH-AES128-GCM-SHA256

  • ADH-AES128-SHA

  • ADH-AES128-SHA256

  • ADH-AES256-GCM-SHA384

  • ADH-AES256-SHA

  • ADH-AES256-SHA256

  • ADH-CAMELLIA128-SHA

  • ADH-CAMELLIA256-SHA

  • ADH-DES-CBC3-SHA

  • ADH-DES-CBC-SHA

  • ADH-RC4-MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES-CBC3-MD5

  • DES-CBC-MD5

  • RC2-CBC-MD5

  • PSK-AES256-CBC-SHA

  • PSK-3 DES - - EDE - CBC SHA

  • KRB5-DES-CBC3-SHA

  • KRB5-DES-CBC3-MD5

  • PSK-AES128-CBC-SHA

  • PSK-RC4-SHA

  • KRB5-RC4-SHA

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC-MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP-RC2-CBC-MD5

  • EXP-KRB5-RC2-CBC-SHA

  • EXP-KRB5-DES-CBC-SHA

  • EXP-KRB5-RC2-CBC-MD5

  • EXP-KRB5-DES-CBC-MD5

  • EXP-ADH-RC4-MD5

  • EXP-RC4-MD5

  • EXP-KRB5-RC4-SHA

  • EXP-KRB5-RC4-MD5

* Essas são as cifras incluídas na política de segurança padrão, ELBSecurityPolicy -2016-08.