Mozilla 有一個工具可以產生伺服器配置,網址為Mozilla SSL 設定產生器。對於亞馬遜彈性負載平衡(ELB),配置似乎沒有「使用伺服器首選項」的設定。
「使用伺服器首選項」是一個重要的伺服器端選項,因為它確保使用伺服器選擇的密碼套件(而不是使用客戶端的密碼套件)(對它們的交集取模)。在 Apache 中,設定為SSLHonorCipherOrder.在 OpenSSL 中,設定為SSL_OP_CIPHER_SERVER_PREFERENCE。
確保使用伺服器對密碼套件的首選項的 ELB 設定是什麼?
答案1
亞馬遜預定義的安全策略已經這樣做了。
如果您嘗試使用 Mozilla 提供的 CloudFormation 模板,您將看到該屬性已經存在。
{
"Name": "Server-Defined-Cipher-Order",
"Value": true
},
答案2
來自Elastic Load Balancing 的 SSL 協商配置文檔部分:
伺服器順序偏好
彈性負載平衡支持伺服器順序偏好用於協商客戶端和負載平衡器之間的連接的選項。在 SSL 連線協商過程中,用戶端和負載平衡器會依優先順序提供各自支援的密碼和協定清單。預設情況下,會選擇客戶端清單中與任何一個負載平衡器密碼相符的第一個密碼用於 SSL 連線。如果負載平衡器配置為支援伺服器順序首選項,則負載平衡器會選擇其清單中位於用戶端密碼清單中的第一個密碼。這可確保負載平衡器決定用於 SSL 連線的密碼。如果不啟用伺服器順序首選項,則用戶端提供的密碼順序將用於協商用戶端和負載平衡器之間的連線。
有關 Elastic Load Balancing 使用的密碼順序的信息,請參閱預先定義的 SSL 安全性策略。