Politiques de sécurité SSL prédéfinies pour les Classic Load Balancers

Vous pouvez choisir l'une des stratégies de sécurité prédéfinies pour vos écouteurs HTTPS/SSL. Nous vous recommandons la politique de sécurité par défaut ELBSecurityPolicy-2016-08, pour des raisons de compatibilité. Vous pouvez utiliser l'une des stratégies ELBSecurityPolicy-TLS afin de satisfaire les normes de sécurité et de conformité qui exigent la désactivation de certaines versions de protocole TLS. Vous pouvez également créer une politique de sécurité personnalisée. Pour de plus amples informations, veuillez consulter Mettre à jour la configuration de négociation SSL.

Les chiffrements basés sur RSA et DSA sont spécifiques à l'algorithme de signature utilisé pour créer un certificat SSL. Veillez à créer un certificat SSL à l'aide de l'algorithme de signature basé sur les chiffrements qui sont activés pour votre stratégie de sécurité.

Si vous sélectionnez une politique qui est activée pour la préférence pour l'ordre des serveurs, l'équilibreur de charge utilise les chiffrements dans l'ordre dans lequel ils sont spécifiés ici pour négocier des connexions entre le client et l'équilibreur de charge. Sinon, l'équilibreur de charge utilise les chiffrements dans l'ordre dans lequel ils sont présentés par le client.

Le tableau suivant décrit les stratégies de sécurité prédéfinies les plus récentes pour les Classic Load Balancers, y compris leurs protocoles SSL activés, les chiffrements SSL et la politique par défaut, ELBSecurityPolicy-2016-08. Le ELBSecurityPolicy- a été supprimé des noms de stratégie dans la ligne d'en-tête afin qu'ils correspondent.

Astuce

Cette règle s'applique uniquement aux Classic Load Balancers. Pour plus d'informations s'appliquant aux autres équilibreurs de charge, consultez Politiques de sécurité pour les Application Load Balancers et Politiques de sécurité pour les dispositifs d'équilibrage de charge de réseau.

Politique de sécurité	2016-08	TLS-1-1-2017-01	TLS-1-2-2017-01	2015-05	2015-03	2015-02
Protocoles SSL
Protocol-TLSv1	✓			✓	✓	✓
Protocol-TLSv1.1	✓	✓		✓	✓	✓
Protocol-TLSv1.2	✓	✓	✓	✓	✓	✓
Options SSL
Préférence pour l'ordre des serveurs	✓	✓	✓	✓	✓	✓
Chiffrements SSL
ECDHE-ECDSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES128-SHA256	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES128-SHA	✓	✓		✓	✓	✓
ECDHE-RSA-AES128-SHA	✓	✓		✓	✓	✓
DHE-RSA-AES128-SHA					✓	✓
ECDHE-ECDSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-ECDSA-AES256-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA384	✓	✓	✓	✓	✓	✓
ECDHE-RSA-AES256-SHA	✓	✓		✓	✓	✓
ECDHE-ECDSA-AES256-SHA	✓	✓		✓	✓	✓
AES128-GCM-SHA256	✓	✓	✓	✓	✓	✓
AES128-SHA256	✓	✓	✓	✓	✓	✓
AES128-SHA	✓	✓		✓	✓	✓
AES256-GCM-SHA384	✓	✓	✓	✓	✓	✓
AES256-SHA256	✓	✓	✓	✓	✓	✓
AES256-SHA	✓	✓		✓	✓	✓
DHE-DSS-AES128-SHA					✓	✓
DES-CBC3-SHA				✓	✓

Politiques de sécurité prédéfinies

Voici les politiques de sécurité prédéfinies pour les Classic Load Balancers. Pour décrire une stratégie prédéfinie, utilisez la commande describe-load-balancer-policies.

ELBSecurityPolicy-2016-08
ELBSecurityPolicy-TLS-1-2-2017-01
ELBSecurityPolicy-TLS-1-1-2017-01
ELBSecurityPolicy-2015-05
ELBSecurityPolicy-2015-03
ELBSecurityPolicy-2015-02
ELBSecurityPolicy-2014-10
ELBSecurityPolicy-2014-01
ELBSecurityPolicy-2011-08
ELBSample-ELBDefaultNegotiationPolicy ou ELBSample-ELBDefaultCipherPolicy
ELBSample-OpenSSLDefaultNegotiationPolicy ou ELBSample-OpenSSLDefaultCipherPolicy

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configurations de négociation SSL

Création d'un équilibreur de charge HTTPS