Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de seguridad para el Equilibrador de carga de aplicación
Elastic Load Balancing utiliza una configuración de negociación de capa de conexión segura (SSL), conocida como política de seguridad, para negociar las conexiones SSL entre un cliente y el equilibrador de carga. Una política de seguridad es una combinación de protocolos y cifrados. El protocolo establece una conexión segura entre un cliente y un servidor, y garantiza que todos los datos transferidos entre el cliente y el equilibrador de carga son privados. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Los protocolos usan diversos cifrados para cifrar los datos a través de Internet. Durante el proceso de negociación de conexiones, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. De forma predeterminada, el primer cifrado que se va a seleccionar para la conexión segura será el primero de la lista del servidor que coincida con uno de los cifrados del cliente.
Consideraciones
-
Un oyente HTTPS requiere una política de seguridad. Si no especifica una política de seguridad al crear el oyente, se usará la política de seguridad predeterminada. La política de seguridad predeterminada depende de cómo haya creado el oyente HTTPS:
-
Consola: la política de seguridad predeterminada es
ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09. -
Otros métodos (por ejemplo, el AWS CLI AWS CloudFormation, y el AWS CDK): la política de seguridad predeterminada es
ELBSecurityPolicy-2016-08. -
Para ver la versión del protocolo TLS (posición del campo de registro 5) y el intercambio de claves (posición del campo de registro 13) para las solicitudes de conexión al balanceador de cargas, habilite el registro de conexiones y examine las entradas de registro correspondientes. Para obtener más información, consulta Registros de conexión.
-
Las políticas de seguridad con PQ en sus nombres ofrecen un intercambio de claves híbrido poscuántico. Por motivos de compatibilidad, admiten algoritmos de intercambio de ML-KEM claves clásicos y poscuánticos. Los clientes deben admitir el intercambio de ML-KEM claves para utilizar el TLS poscuántico híbrido para el intercambio de claves. Las políticas poscuánticas híbridas admiten los algoritmos SECP256R1MLKEM768, SECP384R1MLKEM1024 y X25519MLKEM768. Para obtener Post-quantum más información, consulte Criptografía
. -
AWS recomienda implementar la nueva política
ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09de seguridad poscuántica basada en TLS (PQ-TLS) o.ELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09Esta política garantiza la compatibilidad con versiones anteriores al ofrecer soporte a los clientes que pueden negociar únicamente PQ-TLS el TLS 1.3 o el TLS 1.2 únicamente, lo que minimiza las interrupciones del servicio durante la transición a la criptografía poscuántica. Puede migrar progresivamente a políticas de seguridad más restrictivas a medida que las aplicaciones de sus clientes desarrollen la capacidad de negociar las operaciones de intercambio PQ-TLS de claves. -
Las políticas de seguridad que llevan el nombre RFC 9151 le ayudan a cumplir con la RFC 9151, que define los requisitos de TLS para el conjunto de algoritmos comerciales de seguridad nacional (CNSA) 1.0, según lo especificado por la Agencia de Seguridad Nacional (NSA) de EE. UU. Para facilitar la transición, están disponibles en dos categorías: políticas estrictas que hacen cumplir todos los requisitos de la RFC 9151 y políticas de interoperabilidad (que contienen «INTEROP» en su nombre) que admiten cifrados compatibles con la RFC 9151 y no compatibles con la RFC 9151 para facilitar la transición gradual. AWS recomienda empezar por minimizar las interrupciones y, luego, pasar gradualmente
ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07a políticas más estrictas a medida que los clientes respalden la RFC 9151. Puede utilizar lostls_keyexchangecampos y y de lostls_protocolregistros de conexiones de ALB para supervisar las conexiones de los clientes.tls_cipherPara obtener más información sobre el RFC 9151, consulte el RFC 9151 en el sitio web del IETF.
-
-
A fin de ajustarse a los estándares de seguridad y conformidad que requieren que se deshabiliten algunas versiones del protocolo TLS o para admitir clientes heredados que utilicen cifrados en desuso, puede usar una de las políticas de seguridad
ELBSecurityPolicy-TLS-. Para ver la versión del protocolo TLS para las solicitudes dirigidas al Equilibrador de carga de aplicación, habilite el registro de acceso del equilibrador de carga y examine las entradas de los registros de acceso correspondientes. Para obtener más información, consulte Access logs. -
Puedes restringir las políticas de seguridad que están disponibles para los usuarios en todas tus políticas de IAM Cuentas de AWS y de control de servicios (SCP), respectivamente, y AWS Organizations mediante las claves de condición de Elastic Load Balancing. Para obtener más información, consulte Políticas de control de servicios (SCP) en la Guía del usuario de AWS Organizations .
-
Las políticas que admiten únicamente TLS 1.3 son compatibles con el secreto directo (FS). Las políticas que admiten TLS 1.3 y TLS 1.2 y que incluyen únicamente cifrados de la forma TLS_* y ECDHE_* también proporcionan secreto directo (FS).
-
Los balanceadores de carga de aplicaciones admiten la reanudación de TLS mediante PSK (TLS 1.3) y IDs/session tickets de sesión (TLS 1.2 y versiones anteriores). Las reanudaciones solo se admiten en conexiones a la misma dirección IP del Equilibrador de carga de aplicación. La característica 0-RTT Data y la extensión early_data no están implementadas.
-
Los equilibradores de carga de aplicaciones no admiten políticas de seguridad personalizadas.
-
Los Equilibradores de carga de aplicación solo admiten la renegociación de SSL para las conexiones de destino.
Conexiones de backend
-
Puede seleccionar la política de seguridad que se utiliza para las conexiones frontend, pero no para las conexiones backend. La política de seguridad de las conexiones de back-end depende de la política de seguridad del oyente. Si alguno de sus oyentes usa:
-
Política RFC 9151 (incluida cualquier política de interoperabilidad): uso de conexiones de backend
ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07 -
Política TLS poscuántica de FIPS: uso de conexiones de backend
ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 -
Política FIPS: uso de conexiones de backend
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 -
Post-quantum Política TLS: uso de conexiones de backend
ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 -
Política de TLS 1.3: uso de conexiones de backend
ELBSecurityPolicy-TLS13-1-0-2021-06 -
Otra política de TLS: uso de conexiones de backend
ELBSecurityPolicy-2016-08
-
Políticas de seguridad
Ejemplos de comandos describe-ssl-policies
Puede describir los protocolos y cifrados de una política de seguridad, o encontrar una política que se ajuste a sus necesidades, mediante el comando describe-ssl-policies de la AWS CLI .
El siguiente ejemplo describe la política especificada.
aws elbv2 describe-ssl-policies \ --names "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
El siguiente ejemplo muestra las políticas que contienen la cadena especificada en el nombre de la política.
aws elbv2 describe-ssl-policies \ --query "SslPolicies[?contains(Name,'FIPS')].Name"
El siguiente ejemplo muestra las políticas que admiten el protocolo especificado.
aws elbv2 describe-ssl-policies \ --query "SslPolicies[?contains(SslProtocols,'TLSv1.3')].Name"
El siguiente ejemplo muestra las políticas que admiten el cifrado especificado.
aws elbv2 describe-ssl-policies \ --query "SslPolicies[?Ciphers[?contains(Name,'TLS_AES_128_GCM_SHA256')]].Name"
El siguiente ejemplo muestra las políticas que no admiten el cifrado especificado.
aws elbv2 describe-ssl-policies \ --query 'SslPolicies[?length(Ciphers[?starts_with(Name,`AES128-GCM-SHA256`)]) == `0`].Name'
Políticas de seguridad de TLS
Puede utilizar las políticas de seguridad de TLS para ajustarse a los estándares de seguridad y conformidad que requieren que se deshabiliten ciertas versiones del protocolo TLS, o bien para admitir clientes heredados que requieren cifrados obsoletos.
Las políticas que admiten únicamente TLS 1.3 son compatibles con el secreto directo (FS). Las políticas que admiten TLS 1.3 y TLS 1.2 y que incluyen únicamente cifrados de la forma TLS_* y ECDHE_* también proporcionan secreto directo (FS).
Protocolos por política
En la siguiente tabla se detallan los protocolos que admite cada política de seguridad TLS.
| Políticas de seguridad | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-3-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-0-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 | ||||
| ELBSecurityPolicy-TLS-1-2-2017-01 | ||||
| ELBSecurityPolicy-TLS-1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 |
Cifrados por política
En la siguiente tabla se detallan los cifrados que admite cada política de seguridad TLS.
| Política de seguridad | Cifrados |
|---|---|
|
ELBSecurityPolicy-TLS13-1-3-2021-06 ELBSecurityPolicy-TLS13-1-3-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-2021-06 ELBSecurityPolicy-TLS13-1-2-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Res-2021-06 ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 ELBSecurityPolicy-TLS13-1-2-Ext2-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 ELBSecurityPolicy-TLS13-1-2-Ext1-PQ-2025-09 |
|
| ELBSecurityPolicy-TLS13-1-1-2021-06 |
|
|
ELBSecurityPolicy-TLS13-1-0-2021-06 ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 |
|
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 |
|
| ELBSecurityPolicy-TLS-1-2-2017-01 |
|
| ELBSecurityPolicy-TLS-1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
Políticas por cifrado
En la siguiente tabla se detallan las políticas de seguridad TLS que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
OpenSSL: TLS_AES_128_GCM_SHA256 IANA: TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL: TLS_AES_256_GCM_SHA384 IANA: TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL: TLS_CHACHA20_POLY1305_SHA256 IANA: TLS_CHACHA20_POLY1305_SHA256 |
|
1303 |
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — AES128-GCM-SHA256 IANA: TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9c |
|
OpenSSL — AES128-SHA256 IANA: TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL — AES128-SHA IANA: TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — AES256-GCM-SHA384 IANA: TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL — AES256-SHA256 IANA: TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL — AES256-SHA IANA: TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Políticas de seguridad FIPS
El Estándar de procesamiento de la información federal (FIPS) es un estándar de seguridad de los gobiernos de EE. UU. y Canadá que especifica los requisitos de seguridad de los módulos criptográficos que protegen información confidencial. Para obtener más información, consulte Estándar de procesamiento de la información federal (FIPS) 140
Todas las políticas de FIPS utilizan el módulo criptográfico validado por AWS-LC FIPS. Para obtener más información, consulte la página del módulo AWS-LC criptográfico
importante
Las políticas ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 y ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 se proporcionan únicamente para ofrecer compatibilidad con versiones heredadas. Si bien utilizan la criptografía FIPS mediante el módulo FIPS140, es posible que no cumplan con las directrices más recientes del NIST para la configuración de TLS.
Protocolos por política
En la siguiente tabla se detallan los protocolos que admite cada política de seguridad FIPS.
| Políticas de seguridad | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-3-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 |
Cifrados por política
En la siguiente tabla se detallan los cifrados que admite cada política de seguridad FIPS.
| Política de seguridad | Cifrados |
|---|---|
|
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-3-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-PQ-2025-09 |
|
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 |
|
|
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 |
|
Políticas por cifrado
En la siguiente tabla se detallan las políticas de seguridad FIPS que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
OpenSSL: TLS_AES_128_GCM_SHA256 IANA: TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL: TLS_AES_256_GCM_SHA384 IANA: TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — AES128-GCM-SHA256 IANA: TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9c |
|
OpenSSL — AES128-SHA256 IANA: TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL — AES128-SHA IANA: TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — AES256-GCM-SHA384 IANA: TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL — AES256-SHA256 IANA: TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL — AES256-SHA IANA: TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Políticas de seguridad según el RFC 9151 (CNSA 1.0)
Application Load Balancer admite políticas de seguridad que le ayudan a cumplir con la RFC 9151, que define los requisitos de TLS para el conjunto de algoritmos comerciales de seguridad nacional (CNSA) 1.0, según lo especificado por la Agencia de Seguridad Nacional (NSA) de EE. UU. El RFC 9151 especifica cómo usar la suite CNSA con los protocolos TLS 1.2 y TLS 1.3, y define los requisitos criptográficos para comunicaciones seguras que cumplan con los estándares de seguridad gubernamentales. Para obtener más información sobre el RFC 9151, consulte el RFC 9151.
Las políticas del RFC 9151 están disponibles en dos categorías:
Políticas estrictas: hagan cumplir los estrictos requisitos del esquema de cifrado y firma del RFC 9151. Úselos cuando todos sus clientes puedan admitir el RFC 9151.
Políticas de interoperabilidad: Support admiten esquemas de firma y cifrados compatibles con RFC 9151 y no compatibles con RFC 9151 para facilitar una transición gradual hacia el cumplimiento de la RFC 9151. Úselos cuando no esté seguro de si todos los clientes pueden admitir la RFC 9151 o si quiere evitar interrumpir a los clientes durante la transición. Todas las políticas de interoperabilidad contienen la palabra «INTEROP» en el nombre de la política.
AWS recomienda empezar por la política de interoperabilidadELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07, que ayuda a los clientes a negociar los algoritmos clásicos del TLS 1.3, el TLS 1.2 o el estricto RFC 9151, lo que minimiza las interrupciones. Puede pasar gradualmente a políticas más estrictas a medida que sus clientes puedan negociar la estricta RFC 9151. Puede utilizar los tls_protocol tls_keyexchange campos y y de los registros de conexión de ALB para supervisar cómo se conectan los clientes. tls_cipher
importante
Cuando seleccionas una política de seguridad según la norma RFC 9151 para tu agente de escucha, el balanceador de carga la utiliza ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07 para las conexiones de backend a destinos y otros servicios. Sin embargo, el balanceador de cargas no puede garantizar ni hacer cumplir la RFC 9151 en las conexiones de salida, incluidas las conexiones a destinos, o en los servicios externos configurados por el cliente (como proveedores de identidad de terceros o puntos finales de autenticación).
Es su responsabilidad garantizar lo siguiente:
Sus destinos y cualquier servicio externo que configure pueden admitir los protocolos y cifrados de la política de conexión de backend.
Para que el balanceador de cargas y tus objetivos cumplan estrictamente con la RFC 9151, tus objetivos deben tener implementados certificados y cifrados que cumplan con la RFC 9151.
Si tus destinos de backend solo son compatibles con TLS 1.0 o TLS 1.1, las conexiones fallarán. Debe actualizar los protocolos y los cifrados de sus objetivos para alinearlos con los cifrados que admite la política.
ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07
Protocolos por política
En la siguiente tabla se describen los protocolos que admite cada política de seguridad según el RFC 9151.
| Políticas de seguridad | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-RFC9151-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-RFC9151-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP1-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP2-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP3-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07 |
Cifrados por política
En la siguiente tabla se describen los cifrados que admite cada política de seguridad del RFC 9151.
| Política de seguridad | Cifrados |
|---|---|
| ELBSecurityPolicy-TLS13-1-3-RFC9151-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext0-RFC9151-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP1-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP2-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP3-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07 |
|
Políticas por cifrado
En la siguiente tabla se describen las políticas de seguridad del RFC 9151 que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
OpenSSL: TLS_AES_256_GCM_SHA384 IANA: TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL: TLS_AES_128_GCM_SHA256 IANA: TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — AES256-GCM-SHA384 IANA: TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — AES256-SHA256 IANA: TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL — AES256-SHA IANA: TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
|
OpenSSL — AES128-GCM-SHA256 IANA: TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9c |
|
OpenSSL — AES128-SHA256 IANA: TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL — AES128-SHA IANA: TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
Para las políticas admitidas
Las políticas de seguridad compatibles con FS (secreto hacia adelante) proporcionan protecciones adicionales contra el espionaje de datos cifrados mediante el uso de una clave de sesión aleatoria única. Esto impide la decodificación de los datos capturados, incluso si la clave secreta a largo plazo se ve comprometida.
Las políticas de esta sección son compatibles con el secreto directo (FS) y “FS” está incluido en sus nombres. Sin embargo, estas no son las únicas políticas que admiten secreto directo (FS). Las políticas que admiten únicamente TLS 1.3 son compatibles con el secreto directo (FS). Las políticas que admiten TLS 1.3 y TLS 1.2 y que incluyen únicamente cifrados de la forma TLS_* y ECDHE_* también proporcionan secreto directo (FS).
Protocolos por política
En la siguiente tabla se detallan los protocolos que admite cada política de seguridad FS admitida.
| Políticas de seguridad | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-Res-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
Cifrados por política
En la siguiente tabla se detallan los cifrados que admite cada política de seguridad FS admitida.
| Política de seguridad | Cifrados |
|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-Res-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
Políticas por cifrado
En la siguiente tabla se detallan las políticas de seguridad FS admitidas que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
