Konfigurasi negosiasi SSL untuk Classic Load Balancer - Penyeimbang Beban Elastis
Kebijakan KeamananProtokol SSLPreferensi Pesanan ServerCipher SSL

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi negosiasi SSL untuk Classic Load Balancer

Elastic Load Balancing menggunakan konfigurasi negosiasi Secure Socket Layer (SSL), yang dikenal sebagai kebijakan keamanan, untuk menegosiasikan koneksi SSL antara klien dan penyeimbang beban. Kebijakan keamanan adalah kombinasi protokol SSL, cipher SSL, dan opsi Preferensi Pesanan Server. Untuk informasi selengkapnya tentang mengonfigurasi koneksi SSL untuk penyeimbang beban Anda, lihat. Pendengar untuk Classic Load Balancer Anda

Daftar Isi

Kebijakan Keamanan

Kebijakan keamanan menentukan sandi dan protokol mana yang didukung selama negosiasi SSL antara klien dan penyeimbang beban. Anda dapat mengonfigurasi Classic Load Balancers untuk menggunakan kebijakan keamanan yang telah ditentukan atau kustom.

Perhatikan bahwa sertifikat yang disediakan oleh AWS Certificate Manager (ACM) berisi kunci publik RSA. Oleh karena itu, Anda harus menyertakan cipher suite yang menggunakan RSA dalam kebijakan keamanan Anda jika Anda menggunakan sertifikat yang disediakan oleh ACM; jika tidak, koneksi TLS gagal.

Kebijakan keamanan yang telah ditentukan

Nama-nama kebijakan keamanan standar terbaru mencakup informasi versi berdasarkan tahun dan bulan mereka dirilis. Misalnya, kebijakan keamanan standar default adalahELBSecurityPolicy-2016-08. Setiap kali kebijakan keamanan standar baru dirilis, Anda dapat memperbarui konfigurasi untuk menggunakannya.

Untuk informasi tentang protokol dan cipher yang diaktifkan untuk kebijakan keamanan yang telah ditetapkan, lihat. Kebijakan keamanan SSL yang telah ditentukan sebelumnya

Kebijakan keamanan khusus

Anda dapat membuat konfigurasi negosiasi khusus dengan sandi dan protokol yang Anda butuhkan. Misalnya, beberapa standar kepatuhan keamanan (seperti PCI dan SOC) mungkin memerlukan seperangkat protokol dan sandi khusus untuk memastikan bahwa standar keamanan terpenuhi. Dalam kasus seperti itu, Anda dapat membuat kebijakan keamanan khusus untuk memenuhi standar tersebut.

Untuk informasi tentang membuat kebijakan keamanan khusus, lihatPerbarui konfigurasi negosiasi SSL Classic Load Balancer Anda.

Protokol SSL

Protokol SSL membuat koneksi aman antara klien dan server, dan memastikan bahwa semua data yang dilewatkan antara klien dan penyeimbang beban Anda bersifat pribadi.

Secure Sockets Layer (SSL) dan Transport Layer Security (TLS) adalah protokol kriptografi yang digunakan untuk mengenkripsi data rahasia melalui jaringan yang tidak aman seperti internet. Protokol TLS adalah versi yang lebih baru dari protokol SSL. Dalam dokumentasi Elastic Load Balancing, kami menyebut protokol SSL dan TLS sebagai protokol SSL.

Protokol yang direkomendasikan

Kami merekomendasikan TLS 1.2, yang digunakan dalam kebijakan keamanan standar ELB SecurityPolicy -TLS-1-2-2017-01. Anda juga dapat menggunakan TLS 1.2 dalam kebijakan keamanan khusus Anda. Kebijakan keamanan default mendukung TLS 1.2 dan versi TLS sebelumnya, sehingga kurang aman dibandingkan SecurityPolicy ELB -TLS-1-2-2017-01.

Protokol usang

Jika sebelumnya Anda mengaktifkan protokol SSL 2.0 dalam kebijakan khusus, sebaiknya Anda memperbarui kebijakan keamanan ke salah satu kebijakan keamanan yang telah ditentukan sebelumnya.

Preferensi Pesanan Server

Elastic Load Balancing mendukung opsi Preferensi Pesanan Server untuk menegosiasikan koneksi antara klien dan penyeimbang beban. Selama proses negosiasi koneksi SSL, klien dan penyeimbang beban menyajikan daftar sandi dan protokol yang masing-masing mereka dukung, sesuai urutan preferensi. Secara default, cipher pertama pada daftar klien yang cocok dengan salah satu cipher load balancer dipilih untuk koneksi SSL. Jika load balancer dikonfigurasi untuk mendukung Server Order Preference, maka load balancer memilih cipher pertama dalam daftarnya yang ada dalam daftar cipher klien. Ini memastikan bahwa penyeimbang beban menentukan cipher mana yang digunakan untuk koneksi SSL. Jika Anda tidak mengaktifkan Preferensi Pesanan Server, urutan cipher yang disajikan oleh klien digunakan untuk menegosiasikan koneksi antara klien dan penyeimbang beban.

Cipher SSL

Sebuah SSL cipher adalah algoritma enkripsi yang menggunakan kunci enkripsi untuk membuat pesan kode. Protokol SSL menggunakan beberapa cipher SSL untuk mengenkripsi data melalui internet.

Perhatikan bahwa sertifikat yang disediakan oleh AWS Certificate Manager (ACM) berisi kunci publik RSA. Oleh karena itu, Anda harus menyertakan cipher suite yang menggunakan RSA dalam kebijakan keamanan Anda jika Anda menggunakan sertifikat yang disediakan oleh ACM; jika tidak, koneksi TLS gagal.

Elastic Load Balancing mendukung cipher berikut untuk digunakan dengan Classic Load Balancers. Subset dari cipher ini digunakan oleh kebijakan SSL yang telah ditentukan. Semua cipher ini tersedia untuk digunakan dalam kebijakan khusus. Kami menyarankan Anda hanya menggunakan cipher yang disertakan dalam kebijakan keamanan default (yang memiliki tanda bintang). Banyak cipher lainnya tidak aman dan harus digunakan dengan risiko Anda sendiri.

Cipher

  • ECDHE-ECDSA-AES128-GCM-SHA256 *

  • ECDHE-RSA-AES128-GCM-SHA256 *

  • ECDHE-ECDSA-AES128-SHA256 *

  • ECDHE-RSA-AES128-SHA256 *

  • ECDHE-ECDSA-AES128-SHA *

  • ECDHE-RSA-AES128-SHA *

  • DHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256-GCM-SHA384 *

  • ECDHE-RSA-AES256-GCM-SHA384 *

  • ECDHE-ECDSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA *

  • ECDHE-ECDSA-AES256-SHA *

  • AES128-GCM-SHA256 *

  • AES128-SHA256 *

  • AES128-SHA *

  • AES256-GCM-SHA384 *

  • AES256-SHA256*

  • AES256-SHA *

  • DHE-DSS-AES128-SHA

  • CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • ECDHE-RSA-RC4-SHA

  • RC4-SHA

  • ECDHE-ECDSA-RC4-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • CAMELLIA256-SHA

  • EDH-DSS-DES-CBC3-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • ADH-AES128-GCM-SHA256

  • ADH-AES128-SHA

  • ADH-AES128-SHA256

  • ADH-AES256-GCM-SHA384

  • ADH-AES256-SHA

  • ADH-AES256-SHA256

  • ADH-CAMELLIA128-SHA

  • ADH-CAMELLIA256-SHA

  • ADH-DES-CBC3-SHA

  • ADH-DES-CBC-SHA

  • ADH-RC4-MD5

  • ADH-BENIH-SHA

  • DES-CBC-SHA

  • DHE-DSS-BENIH-SHA

  • DHE-RSA-BENIH-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • BENIH-SHA

  • DES-CBC3-MD5

  • DES-CBC-MD5

  • RC2-CBC-MD5

  • PSK-AES256-CBC-SHA

  • PSK-3DES-EDE-CBC-SHA

  • KRB5-DES-CBC3-SHA

  • KRB5-DES-CBC3-MD5

  • PSK-AES128-CBC-SHA

  • PSK-RC4-SHA

  • KRB5-RC4-SHA

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC-MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP-RC2-CBC-MD5

  • EXP-KRB5-RC2-CBC-SHA

  • EXP-KRB5-DES-CBC-SHA

  • EXP-KRB5-RC2-CBC-MD5

  • EXP-KRB5-DES-CBC-MD5

  • EXP-ADH-RC4-MD5

  • EXP-RC4-MD5

  • EXP-KRB5-RC4-SHA

  • EXP-KRB5-RC4-MD5

* Ini adalah cipher yang direkomendasikan termasuk dalam kebijakan keamanan default.