Elastic Load Balancing
Equilibreurs de charge classiques

Configurations de négociation SSL pour Classic Load Balancers

Elastic Load Balancing utilise une configuration de négociation Secure Socket Layer (SSL) (ou stratégie de sécurité) pour négocier des connexions SSL entre un client et l'équilibreur de charge. Une stratégie de sécurité est une combinaison de protocoles SSL, de chiffrements SSL et de l'option de préférence pour l'ordre des serveurs. Pour plus d'informations sur la configuration d'une connexion SSL pour votre équilibreur de charge, consultez Ecouteurs de votre Classic Load Balancer.

Stratégies de sécurité

Une stratégie de sécurité détermine les chiffrements et les protocoles pris en charge lors des négociations SSL entre un client et un équilibreur de charge. Vous pouvez configurer vos Equilibreurs de charge classiques pour qu'ils utilisent des stratégies de sécurité prédéfinies ou personnalisées.

Notez qu'un certificat fourni par AWS Certificate Manager (ACM) contient une clé publique RSA. Vous devez inclure une suite de chiffrement utilisant RSA dans votre stratégie de sécurité si vous utilisez un certificat fourni par ACM, sinon, la connexion TLS échouera.

Stratégies de sécurité prédéfinies

Les noms des stratégies de sécurité prédéfinies les plus récentes comportent des informations de version basées sur l'année et le mois de la mise à disposition de celles-ci. Par exemple, la stratégie de sécurité prédéfinie par défaut est ELBSecurityPolicy-2016-08. Chaque fois qu'une nouvelle stratégie de sécurité prédéfinie est mise à disposition, vous pouvez mettre à jour votre configuration pour l'utiliser.

Pour plus d'informations sur les protocoles et les chiffrements activés pour les stratégies de sécurité prédéfinies, consultez Stratégies de sécurité SSL prédéfinies.

Stratégies de sécurité personnalisées

Vous pouvez créer une configuration de négociation personnalisée avec les chiffrements et les protocoles dont vous avez besoin. Par exemple, certaines normes de conformité en matière de sécurité (comme PCI et SOC) peuvent avoir besoin d'un jeu de protocoles et de chiffrements spécifique pour garantir que les normes de sécurité sont respectées. Dans de tels cas, vous pouvez créer une stratégie de sécurité personnalisée afin de répondre à ces normes.

Pour plus d'informations sur la création d'une stratégie personnalisée, consultez Mettre à jour la configuration de négociation SSL de votre Classic Load Balancer.

Protocoles SSL

Le protocole SSL établit une connexion sécurisée entre un client et un serveur, et s'assure que toutes les données transmises entre le client et votre équilibreur de charge sont privées.

Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont des protocoles cryptographiques utilisés pour chiffrer les données confidentielles sur des réseaux non sécurisés, comme Internet. Le protocole TLS est une version plus récente du protocole SSL. Dans la documentation Elastic Load Balancing, nous faisons référence aux protocoles SSL et TLS en tant que protocole SSL.

Protocoles SSL

Les versions suivantes du protocole SSL sont prises en charge :

  • TLS 1.2

  • TLS 1.1

  • TLS 1.0

  • SSL 3.0

Protocole SSL obsolète

Si vous aviez activé précédemment le protocole SSL 2.0 dans une stratégie personnalisée, nous vous recommandons de mettre à jour votre stratégie de sécurité vers la stratégie de sécurité prédéfinie par défaut.

Préférence pour l'ordre des serveurs

Elastic Load Balancing prend en charge l'option de préférence pour l'ordre des serveurs pour négocier des connexions entre un client et un équilibreur de charge. Pendant le processus de négociation de connexion SSL, le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. Par défaut, le premier chiffrement sur la liste du client qui correspond à l'un des chiffrements de l'équilibreur de charge est sélectionné pour la connexion SSL. Si l'équilibreur de charge est configuré pour prendre en charge la préférence pour l'ordre des serveurs, il sélectionne le premier chiffrement de sa liste figurant dans la liste de chiffrements du client. L'équilibreur de charge peut ainsi déterminer quel chiffrement est utilisé pour la connexion SSL. Si vous n'autorisez pas la préférence pour l'ordre des serveurs, l'ordre de chiffrements présenté par le client est utilisé pour négocier des connexions entre le client et l'équilibreur de charge.

Chiffrements SSL

Un chiffrement SSL est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Les protocoles SSL utilisent plusieurs chiffrements SSL pour chiffrer les données sur Internet.

Notez qu'un certificat fourni par AWS Certificate Manager (ACM) contient une clé publique RSA. Vous devez inclure une suite de chiffrement utilisant RSA dans votre stratégie de sécurité si vous utilisez un certificat fourni par ACM, sinon, la connexion TLS échouera.

Elastic Load Balancing prend en charge les chiffrements suivants avec les Equilibreurs de charge classiques. Un sous-ensemble de ces chiffrements sont utilisés par les stratégies SSL prédéfinies. Tous ces chiffrements sont disponibles pour être utilisés dans une stratégie personnalisée. Nous vous recommandons d'utiliser uniquement les chiffrements inclus dans la stratégie de sécurité par défaut (ceux avec un astérisque). Beaucoup d'autres chiffrements ne sont pas sûrs et doivent être utilisés à vos risques et périls.

Chiffrements

  • ECDHE-ECDSA-AES128-GCM-SHA256 *

  • ECDHE-RSA-AES128-GCM-SHA256 *

  • ECDHE-ECDSA-AES128-SHA256 *

  • ECDHE-RSA-AES128-SHA256 *

  • ECDHE-ECDSA-AES128-SHA *

  • ECDHE-RSA-AES128-SHA *

  • DHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256-GCM-SHA384 *

  • ECDHE-RSA-AES256-GCM-SHA384 *

  • ECDHE-ECDSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA *

  • ECDHE-ECDSA-AES256-SHA *

  • AES128-GCM-SHA256 *

  • AES128-SHA256 *

  • AES128-SHA *

  • AES256-GCM-SHA384 *

  • AES256-SHA256 *

  • AES256-SHA *

  • DHE-DSS-AES128-SHA

  • CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • ECDHE-RSA-RC4-SHA

  • RC4-SHA

  • ECDHE-ECDSA-RC4-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • CAMELLIA256-SHA

  • EDH-DSS-DES-CBC3-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • ADH-AES128-GCM-SHA256

  • ADH-AES128-SHA

  • ADH-AES128-SHA256

  • ADH-AES256-GCM-SHA384

  • ADH-AES256-SHA

  • ADH-AES256-SHA256

  • ADH-CAMELLIA128-SHA

  • ADH-CAMELLIA256-SHA

  • ADH-DES-CBC3-SHA

  • ADH-DES-CBC-SHA

  • ADH-RC4-MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES-CBC3-MD5

  • DES-SRC-MD5

  • RC2-SRC-MD5

  • PSK-AES256-CBC-SHA

  • PSK-3DES-EDE-CBC-SHA

  • KRB5-DES-CBC3-SHA

  • KRB5-DES-CBC3-MD5

  • PSK-AES128-CBC-SHA

  • PSK-RC4-SHA

  • KRB5-RC4-SHA

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC-MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP-RC2-CBC-MD5

  • EXP-KRB5-RC2-CBC-SHA

  • EXP-KRB5-DES-CBC-SHA

  • EXP-KRB5-RC2-SRC-MD5

  • EXP-KRB5-DES-CBC-MD5

  • EXP-ADH-RC4-MD5

  • EXP-RC4-MD5

  • EXP-KRB5-RC4-SHA

  • EXP-KRB5-RC4-MD5

* Ce sont les chiffrements recommandés inclus dans la stratégie de sécurité par défaut.