セキュリティポリシー SSL プロトコルサーバーの優先順位 SSL 暗号バックエンド接続用の暗号スイート

Classic Load Balancers での SSL ネゴシエーション設定

ELB は、セキュリティポリシーと呼ばれる Secure Socket Layer (SSL) ネゴシエーション設定を使用して、クライアントとロードバランサー間の SSL 接続をネゴシエートします。セキュリティポリシーは、SSL プロトコル、SSL 暗号、およびサーバーの優先順位オプションを組み合わせたものです。ロードバランサーの SSL 接続を設定する方法については、「Classic Load Balancer のリスナー」を参照してください。

セキュリティポリシー

セキュリティポリシーによって、クライアントとロードバランサー間の SSL ネゴシエーションでサポートされる暗号とプロトコルが決まります。Classic Load Balancer では、事前定義済み、もしくはカスタムで作成したセキュリティポリシーのいずれかを使用するように設定できます。

( AWS Certificate Manager ACM) によって提供される証明書には、RSA パブリックキーが含まれていることに注意してください。このため、ACM が提供する証明書を使用する場合は、セキュリティポリシーに RSA を使用する暗号セットを含める必要があります。含めない場合は TLS 接続が失敗します。

事前定義されたセキュリティポリシー

事前に定義された最新のセキュリティポリシーの名前には、そのポリシーがリリースされた年月に基づくバージョン情報が含まれています。たとえば、事前に定義されたデフォルトのセキュリティポリシーは ELBSecurityPolicy-2016-08 です。事前に定義されたセキュリティポリシーを新たにリリースするたびに、そのポリシーを使用するよう設定を更新できます。

事前に定義されたセキュリティポリシーで有効なプロトコルと暗号については、「Classic Load Balancer 用の事前定義済み SSL セキュリティポリシー」を参照してください。

カスタムセキュリティポリシー

必要な暗号とプロトコルを備えたカスタムネゴシエーション設定を作成できます。たとえば、一部のセキュリティコンプライアンス基準 (PCI や SOC など) では、セキュリティの基準を確実に満たすために、特定のプロトコルと暗号のセットを要求する場合があります。このような場合は、それらの基準を満たすカスタムセキュリティポリシーを作成できます。

セキュリティポリシーの作成についての詳細は、「Classic Load Balancer の SSL ネゴシエーション設定の更新」を参照してください。

SSL プロトコル

SSL プロトコルは、クライアントとサーバーの間の安全な接続を確立し、クライアントとロードバランサーの間で受け渡しされるすべてのデータのプライバシーを保証します。

Secure Sockets Layer (SSL) と Transport Layer Security (TLS) はインターネットなどの安全性の低いネットワークでの機密データの暗号化に使用される暗号プロトコルです。TLS プロトコルは SSL プロトコルの新しいバージョンです。ELB ドキュメントでは、SSL プロトコルと TLS プロトコルの両方を SSL プロトコルと呼びます。

推奨プロトコル

ELBSecurityPolicy-TLS-1-2-2017-01 の定義済みセキュリティポリシーで使用されている TLS 1.2 をお勧めします。TLS 1.2 をカスタムセキュリティポリシーで使用することもできます。デフォルトのセキュリティポリシーは TLS 1.2 とそれ以前のバージョンの TLS の両方をサポートしているため、ELBSecurityPolicy-TLS-1-2-2017-01 よりも安全性が低くなります。

非推奨のプロトコル

以前にカスタムポリシーで SSL 2.0 プロトコルを有効にした場合、セキュリティポリシーを事前に定義されたセキュリティポリシーに更新することをお勧めします。

サーバーの優先順位

ELB は、クライアントとロードバランサー間の接続をネゴシエートするためのサーバー注文設定オプションをサポートしています。SSL 接続ネゴシエーションのプロセスで、クライアントとロードバランサーでは、それぞれサポートされる暗号とプロトコルのリストが優先される順に表示されます。デフォルトでは、クライアントのリストで最初にロードバランサーの暗号と一致した暗号が SSL 接続用に選択されます。サーバーの優先順位をサポートするようにロードバランサーが設定されていると、ロードバランサーはクライアントの暗号リストに含まれている暗号と最初に一致する暗号を、ロードバランサーのリストから選択します。このようにして、SSL 接続に使用される暗号がロードバランサーによって決定されます。サーバーの優先順位を有効にしない場合は、クライアントで設定された暗号の順序がクライアントとロードバランサー間の接続のネゴシエーションに使用されます。

SSL 暗号

SSL 暗号とは、暗号化キーを使用してコード化されたメッセージを作成する暗号化アルゴリズムです。SSL プロトコルは、複数の SSL 暗号を使用してインターネット経由のデータを暗号化します。

ELB は Classic Load Balancer で使用する以下の暗号をサポートしています。これらの暗号のサブセットは、事前に定義された SSL ポリシーによって使用されます。これらのすべての暗号は、カスタムポリシーで使用できます。デフォルトのセキュリティポリシー (アスタリスクがあるもの) に含まれている暗号のみを使用することをお勧めします。他の多くの暗号は安全ではなく、お客様の責任にてご使用ください。

暗号

ECDHE-ECDSA-AES128- GCM-SHA256 *
ECDHE-RSA-AES128- GCM-SHA256 *
ECDHE-ECDSA-AES128-SHA256 *
ECDHE-RSA-AES128-SHA256 *
ECDHE-ECDSA-AES128-SHA *
ECDHE-RSA-AES128-SHA *
DHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256- GCM-SHA384 *
ECDHE-RSA-AES256- GCM-SHA384 *
ECDHE-ECDSA-AES256-SHA384 *
ECDHE-RSA-AES256-SHA384 *
ECDHE-RSA-AES256-SHA *
ECDHE-ECDSA-AES256-SHA *
AES128-GCM-SHA256 *
AES128-SHA256 *
AES128-SHA *
AES256-GCM-SHA384 *
AES256-SHA256 *
AES256-SHA *
DHE-DSS-AES128-SHA
CAMELLIA128-SHA
EDH-RSA-DES-CBC3-SHA
DES-CBC3-SHA
ECDHE-RSA-RC4-SHA
RC4-SHA
ECDHE-ECDSA-RC4-SHA
DHE-DSS-AES256-GCM-SHA384
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-DSS-AES256-SHA256
DHE-RSA-AES256-SHA
DHE-DSS-AES256-SHA
DHE-RSA-CAMELLIA256-SHA
DHE-DSS-CAMELLIA256-SHA
CAMELLIA256-SHA
EDH-DSS-DES-CBC3-SHA
DHE-DSS-AES128-GCM-SHA256
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-DSS-AES128-SHA256
DHE-RSA-CAMELLIA128-SHA
DHE-DSS-CAMELLIA128-SHA
ADH-AES128-GCM-SHA256
ADH-AES128-SHA
ADH-AES128-SHA256
ADH-AES256-GCM-SHA384
ADH-AES256-SHA
ADH-AES256-SHA256
ADH-CAMELLIA128-SHA
ADH-CAMELLIA256-SHA
ADH-DES-CBC3-SHA
ADH-DES-CBC-SHA
ADH-RC4-MD5
ADH-SEED-SHA
DES-CBC-SHA
DHE-DSS-SEED-SHA
DHE-RSA-SEED-SHA
EDH-DSS-DES-CBC-SHA
EDH-RSA-DES-CBC-SHA
IDEA-CBC-SHA
RC4-MD5
SEED-SHA
DES-CBC3-MD5
DES-CBC-MD5
RC2-CBC-MD5
PSK-AES256-CBC-SHA
PSK-3DES-EDE-CBC-SHA
KRB5-DES-CBC3-SHA
KRB5-DES-CBC3-MD5
PSK-AES128-CBC-SHA
PSK-RC4-SHA
KRB5-RC4-SHA
KRB5-RC4-MD5
KRB5-DES-CBC-SHA
KRB5-DES-CBC-MD5
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-ADH-DES-CBC-SHA
EXP-DES-CBC-SHA
EXP-RC2-CBC-MD5
EXP-KRB5-RC2-CBC-SHA
EXP-KRB5-DES-CBC-SHA
EXP-KRB5-RC2-CBC-MD5
EXP-KRB5-DES-CBC-MD5
EXP-ADH-RC4-MD5
EXP-RC4-MD5
EXP-KRB5-RC4-SHA
EXP-KRB5-RC4-MD5

* これらは、デフォルトのセキュリティポリシー ELBSecurityPolicy-2016-08 に含まれる暗号です。

バックエンド接続用の暗号スイート

Classic Load Balancer は、バックエンド接続の静的暗号化スイートを使用します。Classic Load Balancer と登録されたインスタンスが接続をネゴシエートできない場合は、次のいずれかの暗号を含めます。

AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
CAMELLIA256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
CAMELLIA128-SHA
RC4-SHA
DES-CBC3-SHA
DES-CBC-SHA
DHE-DSS-AES256-GCM-SHA384
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-DSS-AES256-SHA256
DHE-RSA-AES256-SHA
DHE-DSS-AES256-SHA
DHE-RSA-CAMELLIA256-SHA
DHE-DSS-CAMELLIA256-SHA
DHE-DSS-AES128-GCM-SHA256
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-DSS-AES128-SHA256
DHE-RSA-AES128-SHA
DHE-DSS-AES128-SHA
DHE-RSA-CAMELLIA128-SHA
DHE-DSS-CAMELLIA128-SHA
EDH-RSA-DES-CBC3-SHA
EDH-DSS-DES-CBC3-SHA
EDH-RSA-DES-CBC-SHA
EDH-DSS-DES-CBC-SHA

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

SSL/TLS 証明書

事前定義された SSL セキュリティポリシー