Como funciona a SSL/TLS descarga AWS CloudHSM - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funciona a SSL/TLS descarga AWS CloudHSM

Para estabelecer uma conexão HTTPS, seu servidor Web executa um processo de handshake com os clientes. Como parte desse processo, o servidor transfere parte do processamento criptográfico para o AWS CloudHSM cluster, conforme mostrado HSMs na figura a seguir. Cada etapa do processo é explicada abaixo da figura.

nota

A seguinte imagem e processo supõe que RSA seja usado para verificação de servidor e troca de chaves. O processo é ligeiramente diferente quando o DiffieHellman é usado em vez do RSA.

Uma ilustração do processo de handshake TLS entre um cliente e um servidor, incluindo o descarregamento criptográfico para um HSM.

  1. O cliente envia uma mensagem de olá para o servidor.

  2. O servidor responde com uma mensagem de olá e envia o certificado do servidor.

  3. O cliente realiza as seguintes ações:

    1. Verifica se o certificado SSL/TLS do servidor está assinado por um certificado raiz no qual o cliente confia.

    2. Extrai a chave pública do certificado do servidor.

    3. Gera um segredo pré-master e o criptografa com a chave pública do servidor.

    4. Envia o segredo pré-master codificado para o servidor.

  4. Para descriptografar o segredo pré-master do cliente, o servidor o envia ao HSM. O HSM usa a chave privada no HSM para descriptografar o segredo pré-master e, em seguida, envia o segredo pré-master ao servidor. Independentemente, o cliente e o servidor usam o segredo pré-master e algumas informações das mensagens Hello para calcular um segredo mestre.

  5. O processo de handshake termina. Para o resto da sessão, todas as mensagens enviadas entre o cliente e o servidor são criptografadas com derivadas do segredo mestre.

Para saber como configurar o SSL/TLS offload com AWS CloudHSM, consulte um dos tópicos a seguir: