Políticas de segurança SSL predefinidas para balanceadores de carga clássicos
Você pode escolher uma das políticas de segurança predefinidas para os seus ouvintes de HTTPS/SSL. Recomendamos a política de segurança predefinida padrão, ELBSecurityPolicy-2016-08, para fins de compatibilidade. Você pode usar uma das políticas ELBSecurityPolicy-TLS para atender aos requisitos de conformidade e padrões de segurança que exigem a desativação de determinadas versões do protocolo TLS. Como alternativa, você pode criar uma política de segurança personalizada. Para obter mais informações, consulte . Atualizar a configuração de negociação SSL.
Cifras baseadas em RSA e DSA são específicas do algoritmo de assinatura usado para criar o certificado SSL. Crie um certificado SSL usando o algoritmo de assinatura baseado na cifras habilitadas para a sua política de segurança.
Se você selecionar uma política habilitada para Preferência de ordem de servidor, o balanceador de carga usará as codificações na ordem em que forem especificadas aqui para negociar conexões entre o cliente e o balanceador de carga. Caso contrário, o load balancer usará as cifras na ordem em que forem apresentadas pelo cliente.
A tabela a seguir descreve as políticas de segurança predefinidas mais recentes para balanceadores de carga clássicos, incluindo as codificações SSL e os protocolos SSL habilitados, além da política padrão, ELBSecurityPolicy-2016-08. O ELBSecurityPolicy- foi removido dos nomes de política na linha de cabeçalho para que se ajustem ao espaço.
Esta tabela se aplica somente aos balanceadores de carga clássicos. Para obter informações que se apliquem aos outros balanceadores de carga, consulte Políticas de segurança para balanceadores de carga da aplicação e Políticas de segurança para balanceadores de carga da rede.
| Política de segurança | 2016-08 | TLS-1-1-2017-01 | TLS-1-2-2017-01 | 2015-05 | 2015-03 | 2015-02 |
|---|---|---|---|---|---|---|
| Protocolos SSL | ||||||
Protocol-TLSv1 |
✓ | ✓ | ✓ | ✓ | ||
Protocol-TLSv1.1 |
✓ | ✓ | ✓ | ✓ | ✓ | |
Protocol-TLSv1.2 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Opções SSL | ||||||
Preferência ditada pelo servidor |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Cifras SSL | ||||||
ECDHE-ECDSA-AES128-GCM-SHA256 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-RSA-AES128-GCM-SHA256 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-ECDSA-AES128-SHA256 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-RSA-AES128-SHA256 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ECDHE-ECDSA-AES128-SHA |
✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-RSA-AES128-SHA | ✓ | ✓ | ||||
| ECDHE-ECDSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-DSS-AES128-SHA | ✓ | ✓ | ||||
| DES-CBC3-SHA | ✓ | ✓ | ||||
Políticas de segurança predefinidas
A seguir, estão as políticas de segurança predefinidas para balanceadores de carga clássicos. Para descrever uma política predefinida, use o comando describe-load-balancer-policies.
-
ELBSecurityPolicy-2016-08
-
ELBSecurityPolicy-TLS-1-2-2017-01
-
ELBSecurityPolicy-TLS-1-1-2017-01
-
ELBSecurityPolicy-2015-05
-
ELBSecurityPolicy-2015-03
-
ELBSecurityPolicy-2015-02
-
ELBSecurityPolicy-2014-10
-
ELBSecurityPolicy-2014-01
-
ELBSecurityPolicy-2011-08
-
ELBSample-ELBDefaultNegotiationPolicy ou ELBSample-ELBDefaultCipherPolicy
-
ELBSample-OpenSSLDefaultNegotiationPolicy ou ELBSample-OpenSSLDefaultCipherPolicy
