У Mozilla есть инструмент для генерации конфигураций сервераГенератор конфигурации Mozilla SSL. Для АмазонЭластичная балансировка нагрузки(ELB), похоже, в конфигурации отсутствует параметр «использовать настройки сервера».
«Использовать предпочтение сервера» — важная опция на стороне сервера, поскольку она обеспечивает использование набора шифров, выбранного сервером (в отличие от набора шифров клиента) (по модулю их пересечения). В Apache настройка — SSLHonorCipherOrder. В OpenSSL настройка — SSL_OP_CIPHER_SERVER_PREFERENCE.
Какая настройка ELB гарантирует использование предпочтений сервера в отношении наборов шифров?
решение1
Предопределенные политики безопасности Amazonуже сделай это.
Если вы пытаетесь использовать шаблон CloudFormation, предоставленный Mozilla, вы увидите, что атрибут уже там есть.
{
"Name": "Server-Defined-Cipher-Order",
"Value": true
},
решение2
ИзКонфигурации согласования SSL для эластичной балансировки нагрузкираздел документации:
Предпочтение порядка серверов
Эластичная балансировка нагрузки поддерживаетПредпочтение порядка серверовопция для согласования соединений между клиентом и балансировщиком нагрузки. В процессе согласования соединения SSL клиент и балансировщик нагрузки представляют список шифров и протоколов, которые они поддерживают, в порядке предпочтения. По умолчанию для соединения SSL выбирается первый шифр в списке клиента, который соответствует любому из шифров балансировщика нагрузки. Если балансировщик нагрузки настроен на поддержку Server Order Preference, то балансировщик нагрузки выбирает первый шифр в своем списке, который находится в списке шифров клиента. Это гарантирует, что балансировщик нагрузки определяет, какой шифр используется для соединения SSL. Если вы не включаете Server Order Preference, порядок шифров, представленный клиентом, используется для согласования соединений между клиентом и балансировщиком нагрузки.
Информацию о порядке шифров, используемых Elastic Load Balancing, см.Предопределенные политики безопасности SSL.