Mozilla bietet ein Tool zur Generierung von Serverkonfigurationen unterMozilla SSL-KonfigurationsgeneratorFür AmazonElastischer Lastenausgleich(ELB) scheint die Konfiguration keine Einstellung für „Serverpräferenz verwenden“ zu haben.
„Serverpräferenz verwenden“ ist eine wichtige serverseitige Option, da sie sicherstellt, dass die vom Server gewählte Verschlüsselungssammlung verwendet wird (anstatt die Verschlüsselungssammlung des Clients zu verwenden) (modulo der Schnittmenge beider). In Apache lautet die Einstellung SSLHonorCipherOrder. In OpenSSL lautet die Einstellung SSL_OP_CIPHER_SERVER_PREFERENCE.
Wie lautet die ELB-Einstellung, um sicherzustellen, dass die Verschlüsselungssammlungspräferenz des Servers verwendet wird?
Antwort1
Amazons vordefinierte Sicherheitsrichtlinienmache das schon.
Wenn Sie versuchen, die von Mozilla bereitgestellte CloudFormation-Vorlage zu verwenden, werden Sie sehen, dass das Attribut bereits vorhanden ist.
{
"Name": "Server-Defined-Cipher-Order",
"Value": true
},
Antwort2
Von demSSL-Aushandlungskonfigurationen für Elastic Load BalancingAbschnitt der Dokumentation:
Server-Reihenfolgepräferenz
Elastic Load Balancing unterstützt dieServer-ReihenfolgepräferenzOption zum Aushandeln von Verbindungen zwischen dem Client und dem Load Balancer. Während des Aushandelns der SSL-Verbindung präsentieren der Client und der Load Balancer eine Liste der von ihnen unterstützten Chiffren und Protokolle in der Reihenfolge ihrer Präferenz. Standardmäßig wird für die SSL-Verbindung die erste Chiffre in der Liste des Clients ausgewählt, die mit einer der Chiffren des Load Balancers übereinstimmt. Wenn der Load Balancer so konfiguriert ist, dass er die Server Order Preference unterstützt, wählt der Load Balancer die erste Chiffre in seiner Liste aus, die in der Chiffrenliste des Clients enthalten ist. Dadurch wird sichergestellt, dass der Load Balancer bestimmt, welche Chiffre für die SSL-Verbindung verwendet wird. Wenn Sie die Server Order Preference nicht aktivieren, wird die Reihenfolge der vom Client präsentierten Chiffren zum Aushandeln von Verbindungen zwischen dem Client und dem Load Balancer verwendet.
Informationen zur Reihenfolge der von Elastic Load Balancing verwendeten Chiffren finden Sie unterVordefinierte SSL-Sicherheitsrichtlinien.