SSL-Aushandlungskonfigurationen für Classic Load Balancer - Elastic Load Balancing
SicherheitsrichtlinienSSL-ProtokollePräferenz für die ServerreihenfolgeSSL-VerschlüsselungsverfahrenCipher Suite für Back-End-Verbindungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SSL-Aushandlungskonfigurationen für Classic Load Balancer

Elastic Load Balancing verwendet eine Secure Socket Layer (SSL)-Aushandlungskonfiguration, die als Sicherheitsrichtlinie bezeichnet wird, um SSL-Verbindungen zwischen einem Client und dem Load Balancer auszuhandeln. Eine Sicherheitsrichtlinie ist eine Kombination von SSL-Protokollen, SSL-Verschlüsselung und der Präferenz für die Serverreihenfolge. Weitere Informationen über die Konfiguration einer SSL-Verbindung für Ihren Load Balancer finden Sie unter Listener für Ihren Classic Load Balancer.

Sicherheitsrichtlinien

Eine Sicherheitsrichtlinie bestimmt, welche Verschlüsselungen und Protokolle während der SSL-Aushandlungen zwischen einem Client und einem Load Balancer unterstützt werden. Sie können Ihre Classic Load Balancer so konfigurieren, dass sie entweder vordefinierte oder benutzerdefinierte Sicherheitsrichtlinien verwenden.

Beachten Sie, dass ein von AWS Certificate Manager (ACM) bereitgestelltes Zertifikat einen öffentlichen RSA-Schlüssel enthält. Daher müssen Sie eine Cipher Suite (Verschlüsselungssammlung) zu Ihrer Sicherheitsrichtlinie hinzufügen, die RSA verwendet, wenn Sie ein Zertifikat von ACM verwenden, da andernfalls die TLS-Verbindung fehlschlägt.

Vordefinierte Sicherheitsrichtlinien

Die Namen der neuesten vordefinierten Sicherheitsrichtlinien enthalten Informationen basierend auf dem Jahr und Monat, in dem sie veröffentlicht wurden. Die vordefinierte Standardsicherheitsrichtlinie ist beispielsweise ELBSecurityPolicy-2016-08. Jedes Mal, wenn eine neue vordefinierte Sicherheitsrichtlinie veröffentlicht wird, können Sie Ihre Konfiguration aktualisieren, um diese zu verwenden.

Weitere Informationen über die Protokolle und Verschlüsselungen für die vordefinierten Sicherheitsrichtlinien finden Sie unter Vordefinierte SSL-Sicherheitsrichtlinien für Classic Load Balancer.

Benutzerdefinierte Sicherheitsrichtlinien

Sie können eine benutzerdefinierte Aushandlungskonfiguration mit den benötigten Verschlüsselungen und Protokollen erstellen. Beispielsweise erfordern einige Sicherheits-Compliance-Standards (z. B. PCI, SOC usw.) bestimmte Protokolle und Verschlüsselungen von Clients, um sicherzustellen, dass die Sicherheitsstandards erfüllt werden. In solchen Fällen können Sie eine benutzerdefinierte Sicherheitsrichtlinie erstellen, um diese Standards zu erfüllen.

Weitere Informationen zum Erstellen einer benutzerdefinierten Sicherheitsrichtlinie finden Sie unter Aktualisieren der SSL-Aushandlungskonfiguration Ihres Classic Load Balancers.

SSL-Protokolle

Das SSL-Protokoll stellt eine sichere Verbindung zwischen einem Client und einem Server her und stellt sicher, dass alle Daten, die zwischen dem Client und Ihrem Load Balancer übertragen werden, privat sind.

Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind kryptografische Protokolle, die für die Verschlüsselung vertraulicher Daten über unsichere Netzwerke wie das Internet verwendet werden. Das TLS-Protokoll ist eine neuere Version des SSL-Protokolls. In der Dokumentation zu Elastic Load Balancing bezeichnen wir sowohl SSL- als auch TLS-Protokolle als SSL-Protokoll.

Empfohlenes Protokoll

Wir empfehlen TLS 1.2, das in der vordefinierten Sicherheitsrichtlinie ELBSecurity Policy-TLS-1-2-2017-01 verwendet wird. Sie können TLS 1.2 auch in Ihren benutzerdefinierten Sicherheitsrichtlinien verwenden. Die Standard-Sicherheitsrichtlinie unterstützt sowohl TLS 1.2 als auch frühere Versionen von TLS und ist daher weniger sicher als Policy-TLS-1-2-2017-01. ELBSecurity

Veraltete Protokolle

Wenn Sie das SSL-2.0-Protokoll in einer benutzerdefinierten Richtlinie aktiviert haben, empfehlen wir, dass Sie Ihre Sicherheitsrichtlinie auf eine der vordefinierten Sicherheitsrichtlinien aktualisieren.

Präferenz für die Serverreihenfolge

Elastic Load Balancing unterstützt die Option Präferenz für die Serverreihenfolge für das Aushandeln von Verbindungen zwischen einem Client und einem Load Balancer. Während der SSL-Verbindungsaushandlung präsentieren der Client und der Load Balancer eine Liste von Verschlüsselungsverfahren und Protokollen, die sie jeweils unterstützen, nach Priorität sortiert. Standardmäßig wird für die SSL-Verbindung die erste Verschlüsselung auf der Liste des Clients ausgewählt, die mit einem der Verschlüsselungsverfahren des Load Balancers übereinstimmt. Wenn der Load Balancer zur Unterstützung der Präferenz für die Serverreihenfolge konfiguriert ist, wählt der Load Balancer die erste Verschlüsselung in der Liste aus, die auch in der Client-Verschlüsselungsliste enthalten ist. Auf diese Weise wird sichergestellt, dass der Load Balancer bestimmt, welche Verschlüsselung für die SSL-Verbindung verwendet wird. Wenn Sie die Präferenz für die Serverreihenfolge nicht aktivieren, wird die vom Client angebotene Reihenfolge der Verschlüsselung zum Aushandeln der Verbindungen zwischen dem Client und dem Load Balancer verwendet.

SSL-Verschlüsselungsverfahren

Ein SSL-Verschlüsselungsverfahren ist ein Algorithmus, der eine kodierte Nachricht mithilfe von Verschlüsselungsschlüsseln erstellt. SSL-Protokolle verwenden mehrere SSL-Verschlüsselungsverfahren zum Verschlüsseln von Daten über das Internet.

Beachten Sie, dass ein von AWS Certificate Manager (ACM) bereitgestelltes Zertifikat einen öffentlichen RSA-Schlüssel enthält. Daher müssen Sie eine Cipher Suite (Verschlüsselungssammlung) zu Ihrer Sicherheitsrichtlinie hinzufügen, die RSA verwendet, wenn Sie ein Zertifikat von ACM verwenden, da andernfalls die TLS-Verbindung fehlschlägt.

Elastic Load Balancing unterstützt die folgenden Verschlüsselungen für die Verwendung mit Classic Load Balancern. Ein Teil dieser Verschlüsselungen wird von den vordefinierten SSL-Richtlinien verwendet. Alle diese Verschlüsselungen sind für die Verwendung in einer benutzerdefinierten Richtlinie verfügbar. Wir empfehlen, dass Sie nur die Verschlüsselungen in der Standardsicherheitsrichtlinie (mit einem Sternchen gekennzeichnet) verwenden. Viele der anderen Verschlüsselungen sind nicht sicher und erfolgen auf eigenes Risiko.

Verschlüsselungen

  • ECDHE-ECDSA- -GCM- * AES128 SHA256

  • ECDHE-RSA- AES128 -GCM- * SHA256

  • ECDHE-ECDSA- AES128 - * SHA256

  • ECDHE-RSA- AES128 - * SHA256

  • AES128ECDHE-ECDSA-SHA *

  • AES128ECDHE-RSA-SHA *

  • AES128DHE-RSA-SHA

  • ECDHE-ECDSA- -GCM- * AES256 SHA384

  • ECDHE-RSA- AES256 -GCM- * SHA384

  • ECDHE-ECDSA- AES256 - * SHA384

  • ECDHE-RSA- AES256 - * SHA384

  • ECDHE-RSA- AES256 -SHA *

  • AES256ECDHE-ECDSA-SHA *

  • AES128-GCM- * SHA256

  • AES128-SHA256 *

  • AES128-SCHA *

  • AES256-GCM- * SHA384

  • AES256-SHA256 *

  • AES256-SCHA *

  • DHE-DSS-SHA AES128

  • CAMELLIA128-SCHA

  • EDH-RSA-DES-SHA CBC3

  • DES- CBC3 -SHA

  • ECDHE-RSA-SHA RC4

  • RC4-SCHA

  • ECDHE-ECDSA- -SHA RC4

  • DHE-DSS-GCM- AES256 SHA384

  • DHE-RSA- AES256 -GCM- SHA384

  • DHE-RSA- AES256 - SHA256

  • DHE-DSS- AES256 - SHA256

  • AES256DHE-RSA-SHA

  • AES256DHE-DSS-SHA

  • CAMELLIA256DHE-RSA-SHA

  • CAMELLIA256DHE-DSS-SHA

  • CAMELLIA256-SCHA

  • EDH-DSS-DES-SHA CBC3

  • AES128DHE-DSS-GCM- SHA256

  • DHE-RSA- AES128 -GCM- SHA256

  • DHE-RSA- AES128 - SHA256

  • DHE-DSS- AES128 - SHA256

  • CAMELLIA128DHE-RSA-SHA

  • CAMELLIA128DHE-DSS-SHA

  • ADH- AES128 -GCM- SHA256

  • ADH- -SHA AES128

  • ADH- - AES128 SHA256

  • ADH- AES256 -GCM- SHA384

  • ADH- -SHA AES256

  • ADH- - AES256 SHA256

  • ADH- CAMELLIA128 -SHA

  • ADH- -SHA CAMELLIA256

  • ADH-DES-SHA CBC3

  • ADH-DES-CBC-SHA

  • ADH- - RC4 MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES- CBC3 - MD5

  • DES-CBC- MD5

  • RC2-CBC- MD5

  • PSK- -CBC-SHA AES256

  • PSK-3DES-EDE-CBC-SHA

  • KRB5-DES- CBC3 -SHA

  • KRB5-DES- - CBC3 MD5

  • PSK- -CBC-SHA AES128

  • PSK- RC4 -SHA

  • KRB5- -SCHA RC4

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC- MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP- -CBC- RC2 MD5

  • EXP- - -CBC-SHA KRB5 RC2

  • EXP- KRB5 -DES-CBC-SHA

  • EXP- - -CBC- KRB5 RC2 MD5

  • EXP- -DES-CBC- KRB5 MD5

  • RC4EXP-ADH- - MD5

  • EXP- - RC4 MD5

  • EXP- - -SHA KRB5 RC4

  • EXP- - - KRB5 RC4 MD5

* Dies sind die Chiffren, die in der Standardsicherheitsrichtlinie Policy-2016-08 enthalten sind. ELBSecurity

Cipher Suite für Back-End-Verbindungen

Classic Load Balancers verwendet eine statische Verschlüsselungssuite für Back-End-Verbindungen. Wenn Ihr Classic Load Balancer und registrierte Instances keine Verbindung aushandeln können, fügen Sie eine der folgenden Chiffren hinzu.

  • AES256-GCM- SHA384

  • AES256-SHA256

  • AES256-SCHA

  • CAMELLIA256-SCHA

  • AES128-GCM- SHA256

  • AES128-SHA256

  • AES128-SCHA

  • CAMELLIA128-SCHA

  • RC4-SCHA

  • DES-SHA CBC3

  • DES-CBC-SHA

  • DHE-DSS-GCM- AES256 SHA384

  • DHE-RSA- AES256 -GCM- SHA384

  • DHE-RSA- AES256 - SHA256

  • DHE-DSS- AES256 - SHA256

  • AES256DHE-RSA-SHA

  • AES256DHE-DSS-SHA

  • CAMELLIA256DHE-RSA-SHA

  • CAMELLIA256DHE-DSS-SHA

  • AES128DHE-DSS-GCM- SHA256

  • DHE-RSA- AES128 -GCM- SHA256

  • DHE-RSA- AES128 - SHA256

  • DHE-DSS- AES128 - SHA256

  • AES128DHE-RSA-SHA

  • AES128DHE-DSS-SHA

  • CAMELLIA128DHE-RSA-SHA

  • CAMELLIA128DHE-DSS-SHA

  • CBC3EDH-RSA-DES-SHA

  • CBC3EDH-DSS-DE-SHA

  • EDH-RSA-DES-CBC-SHA

  • EDH-DSS-DES-CBC-SHA