Unterstützte Protokolle und Verschlüsselungen zwischen Betrachtern und CloudFront - Amazon CloudFront

Unterstützte Protokolle und Verschlüsselungen zwischen Betrachtern und CloudFront

Wenn Sie HTTPS zwischen Betrachtern und Ihrer CloudFront-Verteilung erfordern, müssen Sie eine Sicherheitsrichtlinie auswählen, die die folgenden Einstellungen festlegt.

  • Das minimale SSL/TLS-Protokoll, dass CloudFront verwendet, um mit den Betrachtern zu kommunizieren.

  • Die Verschlüsselungen, die CloudFront zur Verschlüsselung der Kommunikation mit den Betrachtern nutzen kann.

Um eine Sicherheitsrichtlinie auszuwählen, geben Sie den anwendbaren Wert für a Sicherheitsrichtlinie. Die folgende Tabelle listet die Protokolle und Verschlüsselungsverfahren auf, die CloudFront für jede Sicherheitsrichtlinie verwenden kann.

Ein Betrachter muss mindestens eines der unterstützten Verschlüsselungsverfahren unterstützen, um eine HTTPS-Verbindung mit CloudFront aufzubauen. CloudFront wählt ein Verschlüsselungsverfahren in der aufgelisteten Reihenfolge aus den Verschlüsselungsverfahren aus, die der Betrachter unterstützt. Weitere Informationen finden Sie auch unter OpenSSL-, s2n- und RFC-Verschlüsselungsnamen.

Sicherheitsrichtlinie
SSLv3 TLSv1 TLSv1_2016 TLSv1.1_2016 TLSv1.2_2018 TLSv1.2_2019 TLSv1.2_2021
Unterstützte SSL/TLS-Protokolle
TLSv1.3¹
TLSv1.2
TLSv1.1
TLSv1
SSLv3
Unterstützte TLSv1.3 Ciphers
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Unterstützte ECDSA-Verschlüsselungen
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
Unterstützte RSA-Verschlüsselungen
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA
AES128-SHA
DES-CBC3-SHA
RC4-MD5

¹CloudFront unterstützt Handshakes mit einer Round Trip Time von eins (1-RTT-Handshakes) für TLSv1.3, unterstützt jedoch keine Handshakes mit einer Round Trip Time von null (0-RTT-Handshakes).

OpenSSL-, s2n- und RFC-Verschlüsselungsnamen

OpenSSL und s2n verwenden für Chiffren andere Namen als die TLS-Standards verwenden (RFC 2246, RFC 4346, RFC 5246, und RFC 8446). Die folgende Tabelle ordnet den OpenSSL-Namen und s2n Namen den RFC-Namen für jedes Verschlüsselungsverfahren zu.

Für elliptische Kurvenverschlüsselungen mit Schlüsselaustauschalgorithmen unterstützt CloudFront die folgenden elliptischen Kurven:

  • prime256v1

  • secp384r1

  • X25519

OpenSSL- und s2n-Chiffrenname RFC-Verschlüsselungsname
Unterstützte TLSv1.3 Ciphers
TLS_AES_128_GCM_SHA256 TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384 TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256 TLS_CHACHA20_POLY1305_SHA256
Unterstützte ECDSA-Verschlüsselungen
ECDHE-ECDSA-AES128-GCM-SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE-ECDSA-AES128-SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ECDHE-ECDSA-AES128-SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
ECDHE-ECDSA-AES256-GCM-SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
ECDHE-ECDSA-CHACHA20-POLY1305 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES256-SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
ECDHE-ECDSA-AES256-SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
Unterstützte RSA-Verschlüsselungen
ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES128-SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-CHACHA20-POLY1305 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
AES128-GCM-SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256
AES256-GCM-SHA384 TLS_RSA_WITH_AES_256_GCM_SHA384
AES128-SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256
AES256-SHA TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SHA TLS_RSA_WITH_AES_128_CBC_SHA
DES-CBC3-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA
RC4-MD5 TLS_RSA_WITH_RC4_128_MD5

Unterstützte Signaturschemata zwischen Betrachtern und CloudFront

CloudFront unterstützt die folgenden Signaturschemata für Verbindungen zwischen Betrachtern und CloudFront.

  • TLS_SIGNATURE_SCHEME_RSA_PSS_PSS_SHA256

  • TLS_SIGNATURE_SCHEME_RSA_PSS_PSS_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PSS_PSS_SHA512

  • TLS_SIGNATURE_SCHEME_RSA_PSS_RSAE_SHA256

  • TLS_SIGNATURE_SCHEME_RSA_PSS_RSAE_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PSS_RSAE_SHA512

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA256

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA512

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA224

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA256

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA384

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA512

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA224

  • TLS_SIGNATURE_SCHEME_ECDSA_SECP256R1_SHA256

  • TLS_SIGNATURE_SCHEME_ECDSA_SECP384R1_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA1

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA1