A Mozilla possui uma ferramenta para gerar configurações de servidores emGerador de configuração SSL Mozilla. Para AmazonBalanceamento de carga elástico(ELB), a configuração não parece ter uma configuração para "usar preferência de servidor".
"Usar preferência do servidor" é uma opção importante do lado do servidor porque garante que a escolha do conjunto de criptografia do servidor seja usada (em vez de usar o conjunto de criptografia do cliente) (módulo a interseção deles). No Apache, a configuração é SSLHonorCipherOrder. No OpenSSL, a configuração é SSL_OP_CIPHER_SERVER_PREFERENCE.
Qual é a configuração do ELB para garantir que a preferência do servidor por conjuntos de criptografia seja usada?
Responder1
Políticas de segurança predefinidas da Amazonjá fiz isso.
Se você estiver tentando usar o modelo CloudFormation fornecido pela Mozilla, verá que o atributo já está lá.
{
"Name": "Server-Defined-Cipher-Order",
"Value": true
},
Responder2
DeConfigurações de negociação SSL para Elastic Load Balancingseção da documentação:
Preferência de pedido de servidor
O Elastic Load Balancing oferece suporte aoPreferência de pedido de servidoropção para negociar conexões entre o cliente e o balanceador de carga. Durante o processo de negociação da conexão SSL, o cliente e o balanceador de carga apresentam uma lista de cifras e protocolos que cada um deles suporta, em ordem de preferência. Por padrão, a primeira cifra na lista do cliente que corresponde a qualquer uma das cifras do balanceador de carga é selecionada para a conexão SSL. Se o balanceador de carga estiver configurado para oferecer suporte à preferência de ordem do servidor, o balanceador de carga selecionará a primeira cifra em sua lista que estiver na lista de cifras do cliente. Isso garante que o balanceador de carga determine qual cifra será usada para conexão SSL. Se você não ativar a Preferência de Ordem do Servidor, a ordem das cifras apresentadas pelo cliente será usada para negociar conexões entre o cliente e o balanceador de carga.
Para obter informações sobre a ordem das cifras usadas pelo Elastic Load Balancing, consultePolíticas de segurança SSL predefinidas.