我使用AWS ALB。我将其配置为最严格的安全策略“FS 1.2 res”,并按照此处所述,它仍支持ECDHE-RSA-AES128-SHA256和ECDHE-RSA-AES256-SHA384
(TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256和TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384)
这些被认为是弱的。在使用AWS时是否有一种方法可以避免支持它们?
更新:AWS添加了ELBSecurityPolicy-FS-1-2-Res-2020-10以满足需求
很遗憾,我不得不说,在应用程序负载均衡器(ALB)或网络负载均衡器(NLB)中,目前没有任何预定义的安全策略可以用来避免支持上述弱密码。同时,目前ALB或NLB也不支持自定义安全策略。
话虽如此,我想告诉您,我们已经有一个活跃的功能请求,即使能够将自定义安全策略附加到ALB上。我可以向您保证,我们的服务团队正在积极努力地添加这个功能到ALB中。我们有一个内部请求来跟踪该功能,并已将您的声音添加到请求中以加快进程。但是,由于所有功能请求都需要通过各种验证和回归测试流程,因此我无法确定何时会发布此功能请求的ETA。
目前唯一的解决方法是使用经典负载均衡器(CLB),它支持附加自定义安全策略[1],您还可以启用服务器顺序优先[2]。在这种情况下,ELB选择其列表中第一个在客户端密码列表中的密码。这确保了负载均衡器确定用于SSL连接的密码。如果不启用服务器顺序优先,则使用客户端提供的密码顺序来协商客户端和负载均衡器之间的连接。
但是,请注意,CLB不像ALB那样提供强大的功能。
更新:
AWS添加了ELBSecurityPolicy-FS-1-2-Res-2020-10以解决此问题。
ELBSecurityPolicy-FS-1-2-Res-2020-10,它不允许使用ECDHE-RSA-AES128-SHA256和ECDHE-RSA-AES256-SHA384。https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html - Alex L