Mozilla tiene una herramienta para generar configuraciones de servidor enGenerador de configuración SSL de Mozilla. Para AmazonEquilibrio de carga elástico(ELB), la configuración no parece tener una configuración para "usar preferencia de servidor".
"Usar preferencia de servidor" es una opción importante del lado del servidor porque garantiza que se utilice el conjunto de cifrado elegido por el servidor (en lugar de utilizar el conjunto de cifrado del cliente) (módulo la intersección de ellos). En Apache, la configuración es SSLHonorCipherOrder. En OpenSSL, la configuración es SSL_OP_CIPHER_SERVER_PREFERENCE.
¿Cuál es la configuración de ELB para garantizar que se utilice la preferencia del servidor por los conjuntos de cifrado?
Respuesta1
Políticas de seguridad predefinidas de Amazonya haz esto.
Si está intentando utilizar la plantilla de CloudFormation que le proporcionó Mozilla, verá que el atributo ya está allí.
{
"Name": "Server-Defined-Cipher-Order",
"Value": true
},
Respuesta2
Desde elConfiguraciones de negociación SSL para equilibrio de carga elásticosección de la documentación:
Preferencia de orden del servidor
Elastic Load Balancing admite laPreferencia de orden del servidorOpción para negociar conexiones entre el cliente y el balanceador de carga. Durante el proceso de negociación de la conexión SSL, el cliente y el balanceador de carga presentan una lista de cifrados y protocolos que cada uno admite, en orden de preferencia. De forma predeterminada, el primer cifrado de la lista del cliente que coincida con cualquiera de los cifrados del balanceador de carga se selecciona para la conexión SSL. Si el balanceador de carga está configurado para admitir la preferencia de orden del servidor, entonces el balanceador de carga selecciona el primer cifrado en su lista que está en la lista de cifrados del cliente. Esto garantiza que el equilibrador de carga determine qué cifrado se utiliza para la conexión SSL. Si no habilita la Preferencia de orden del servidor, el orden de los cifrados presentados por el cliente se utiliza para negociar conexiones entre el cliente y el equilibrador de carga.
Para obtener información sobre el orden de los cifrados utilizados por Elastic Load Balancing, consultePolíticas de seguridad SSL predefinidas.