Mozillaにはサーバー設定を生成するツールがあります。Mozilla SSL 設定ジェネレーター. Amazonの場合弾性負荷分散(ELB) 構成には「サーバー設定を使用する」設定がないようです。
「サーバー側の設定を使用する」は、サーバーが選択した暗号スイートが使用されることを保証する重要なサーバー側オプションです (クライアントの暗号スイートを使用するのではなく) (それらの共通部分を法として)。Apache では、設定は ですSSLHonorCipherOrder。OpenSSL では、設定は ですSSL_OP_CIPHER_SERVER_PREFERENCE。
サーバーの暗号スイートの優先順位が確実に使用されるようにするための ELB 設定は何ですか?
答え1
Amazonの定義済みセキュリティポリシーすでにこれを行っている。
Mozilla から提供された CloudFormation テンプレートを使用しようとしている場合は、属性がすでに存在していることがわかります。
{
"Name": "Server-Defined-Cipher-Order",
"Value": true
},
答え2
からElastic Load Balancing の SSL ネゴシエーション設定ドキュメントのセクション:
サーバー順序の優先順位
Elastic Load Balancingは、サーバー順序の優先順位クライアントとロード バランサ間の接続をネゴシエートするためのオプションです。SSL 接続ネゴシエーション プロセス中に、クライアントとロード バランサは、それぞれがサポートする暗号とプロトコルのリストを優先順位に従って提示します。デフォルトでは、ロード バランサの暗号のいずれかに一致するクライアントのリストの最初の暗号が SSL 接続用に選択されます。ロード バランサが Server Order Preference をサポートするように構成されている場合、ロード バランサはクライアントの暗号リストにあるリストの最初の暗号を選択します。これにより、ロード バランサは SSL 接続に使用する暗号を決定します。Server Order Preference を有効にしない場合は、クライアントによって提示された暗号の順序を使用して、クライアントとロード バランサ間の接続がネゴシエートされます。
Elastic Load Balancingで使用される暗号の順序については、以下を参照してください。定義済みの SSL セキュリティ ポリシー。