Шифрование HTTPS обычно используется для приложений, требующих защищённую передачу данных, таких как банковские и финансовые. ELB позволяет использовать общие TLS политики безопасности для защиты передачи данных.
Когда вы добавляете HTTPS‑слушатели, вы можете выбрать политики безопасности по умолчанию или создать пользовательскую политику, ссылаясь на Создание пользовательской политики безопасности для повышения безопасности.
Политика безопасности — это комбинация TLS протоколов разных версий и поддерживаемых наборов шифров.
Политики безопасности по умолчанию
Более новая версия TLS обеспечивает более высокий уровень безопасности HTTPS‑соединения, но менее совместима с некоторыми браузерами.
Вы можете использовать более новые версии TLS для приложений, требующих повышенной безопасности, и более старые версии TLS для приложений, которым нужна широкая совместимость.
Политика безопасности | Версии TLS | Наборы шифров |
|---|---|---|
tls-1-0 | TLS 1.2 TLS 1.1 TLS 1.0 |
|
tls-1-1 | TLS 1.2 TLS 1.1 | |
tls-1-2 | TLS 1.2 | |
tls-1-0-inherit | TLS 1.2 TLS 1.1 TLS 1.0 |
|
tls-1-2-strict | TLS 1.2 |
|
tls-1-0-with-1-3 | TLS 1.3 TLS 1.2 TLS 1.1 TLS 1.0 |
|
tls-1-2-fs-with-1-3 | TLS 1.3 TLS 1.2 |
|
tls-1-2-fs | TLS 1.2 |
|
tls-1-2-strict-no-cbc | TLS 1.2 |
|
В приведённой выше таблице перечислены наборы шифров, поддерживаемые ELB. Как правило, клиенты также поддерживают несколько наборов шифров. При реальном использовании используются наборы шифров, поддерживаемые как ELB, так и клиентами, причём наборы шифров, поддерживаемые ELB, имеют приоритет.
Отличия стандартных политик безопасности
√ указывает, что элемент поддерживается, а x указывает, что элемент не поддерживается.
Политика безопасности | tls-1-0 | tls-1-1 | tls-1-2 | tls-1-0-inherit | tls-1-2-strict | tls-1-0-with-1-3 | tls-1-2-fs-with-1-3 | tls-1-2-fs | tls-1-2-strict-no-cbc |
|---|---|---|---|---|---|---|---|---|---|
Протокол-TLS 1.3 | × | × | × | × | × | √ | √ | √ | × |
Протокол-TLS 1.2 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Протокол-TLS 1.1 | √ | √ | × | √ | × | √ | × | × | × |
Протокол-TLS 1.0 | √ | × | × | √ | × | √ | × | × | × |
Политика безопасности | tls-1-0 | tls-1-1 | tls-1-2 | tls-1-0-inherit | tls-1-2-strict | tls-1-0-with-1-3 | tls-1-2-fs-with-1-3 | tls-1-2-fs | tls-1-2-strict-no-cbc |
|---|---|---|---|---|---|---|---|---|---|
ECDHE-RSA-AES128-GCM-SHA256 | √ | √ | √ | × | √ | × | × | × | √ |
ECDHE-RSA-AES256-GCM-SHA384 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
ECDHE-RSA-AES128-SHA256 | √ | √ | √ | √ | √ | √ | √ | √ | × |
ECDHE-RSA-AES256-SHA384 | √ | √ | √ | √ | √ | √ | √ | √ | × |
AES128-GCM-SHA256 | √ | √ | √ | √ | √ | √ | × | × | × |
AES256-GCM-SHA384 | √ | √ | √ | √ | √ | √ | × | × | × |
AES128-SHA256 | √ | √ | √ | √ | √ | √ | × | × | × |
AES256-SHA256 | √ | √ | √ | √ | √ | √ | × | × | × |
ECDHE-RSA-AES128-SHA | √ | √ | √ | √ | × | √ | × | × | × |
ECDHE-RSA-AES256-SHA | √ | √ | √ | √ | × | √ | × | × | × |
AES128-SHA | √ | √ | √ | √ | × | √ | × | × | × |
AES256-SHA | √ | √ | √ | √ | × | √ | × | × | × |
ECDHE-ECDSA-AES128-GCM-SHA256 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
ECDHE-ECDSA-AES128-SHA256 | √ | √ | √ | √ | √ | √ | √ | √ | × |
ECDHE-ECDSA-AES128-SHA | √ | √ | √ | √ | × | √ | × | × | × |
ECDHE-ECDSA-AES256-GCM-SHA384 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
ECDHE-ECDSA-AES256-SHA384 | √ | √ | √ | √ | √ | √ | √ | √ | × |
ECDHE-ECDSA-AES256-SHA | √ | √ | √ | √ | × | √ | × | × | × |
ECDHE-RSA-AES128-GCM-SHA256 | × | × | × | √ | × | √ | √ | √ | × |
TLS_AES_256_GCM_SHA384 | × | × | × | × | × | √ | √ | √ | × |
TLS_CHACHA20_POLY1305_SHA256 | × | × | × | × | × | √ | √ | √ | × |
TLS_AES_128_GCM_SHA256 | × | × | × | × | × | √ | √ | √ | × |
TLS_AES_128_CCM_8_SHA256 | × | × | × | × | × | √ | √ | √ | × |
TLS_AES_128_CCM_SHA256 | × | × | × | × | × | √ | √ | √ | × |
DHE-RSA-AES128-SHA | × | × | × | √ | × | × | × | × | × |
DHE-DSS-AES128-SHA | × | × | × | √ | × | × | × | × | × |
CAMELLIA128-SHA | × | × | × | √ | × | × | × | × | × |
EDH-RSA-DES-CBC3-SHA | × | × | × | √ | × | × | × | × | × |
DES-CBC3-SHA | × | × | × | √ | × | × | × | × | × |
ECDHE-RSA-RC4-SHA | × | × | × | √ | × | × | × | × | × |
RC4-SHA | × | × | × | √ | × | × | × | × | × |
DHE-RSA-AES256-SHA | × | × | × | √ | × | × | × | × | × |
DHE-DSS-AES256-SHA | × | × | × | √ | × | × | × | × | × |
DHE-RSA-CAMELLIA256-SHA | × | × | × | √ | × | × | × | × | × |
Политика безопасности | tls-1-0 | tls-1-1 | tls-1-2 | tls-1-0-inherit | tls-1-2-strict | tls-1-0-with-1-3 | tls-1-2-fs-with-1-3 | tls-1-2-fs | tls-1-2-strict-no-cbc |
|---|---|---|---|---|---|---|---|---|---|
Android 8.0 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Android 9.0 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Chrome 70 / Win 10 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Chrome 80 / Win 10 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Firefox 62 / Win 7 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Firefox 73 / Win 10 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
IE 8 / XP | √ | √ | √ | √ | × | √ | × | × | × |
IE 8-10 / Win 7 | √ | √ | √ | √ | × | √ | × | × | × |
IE 11 / Win 7 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
IE 11 / Win 10 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Edge 15 / Win 10 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Edge 16 / Win 10 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Edge 18 / Win 10 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Java 8u161 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Java 11.0.3 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Java 12.0.1 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
OpenSSL 1.0.2s | √ | √ | √ | √ | √ | √ | √ | √ | √ |
OpenSSL 1.1.0k | √ | √ | √ | √ | √ | √ | √ | √ | √ |
OpenSSL 1.1.1c | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Safari 10 / iOS 10 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Safari 10 / OS X 10.12 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Safari 12.1.1 / iOS 12.3.1 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
Создание пользовательской политики безопасности
ELB позволяет использовать общие политики безопасности TLS для защиты передачи данных. Если вам необходимо использовать определённую версию TLS и отключить некоторые наборы шифров, вы можете создать пользовательскую политику безопасности и добавить её в HTTPS listener для повышения безопасности сервиса.
- Войдите в консоль управления.
- Нажмите
в верхнем левом углу консоли и выберите нужный регион и проект. - Нажмите
в верхнем левом углу, чтобы отобразить Список сервисов и выберите Сеть > Elastic Load Balance. - В навигационной панели слева выберите Политики безопасности TLS.
- На отображаемой странице нажмите Создать пользовательскую политику безопасности в правом верхнем углу.
- Настройте параметры на основе Table 5.
Table 5 Параметры пользовательской политики безопасности Параметр
Описание
Имя
Указывает имя пользовательской политики безопасности.
TLS Версия
Указывает TLS-версию, поддерживаемую пользовательской политикой безопасности.
Можно выбрать несколько версий:
- TLS 1.0
- TLS 1.1
- TLS 1.2
- TLS 1.3
Набор шифров
Указывает наборы шифров, которые соответствуют выбранным версиям TLS.
Описание (Необязательно)
Предоставляет дополнительную информацию о пользовательской политике безопасности.
- Нажмите OK.
Управление пользовательской политикой безопасности
После создания пользовательской политики безопасности вы можете изменить или удалить её.
Изменение пользовательской политики безопасности
При необходимости вы можете изменить имя, версии TLS, наборы шифров и описание пользовательской политики безопасности.
- Войдите в консоль управления.
- Нажмите в верхнем левом углу консоли и выберите нужный регион и проект.
- Нажмите в верхнем левом углу, чтобы отобразить Список сервисов и выберите Сеть > Elastic Load Balance.
- В навигационной панели слева выберите TLS политики безопасности.
- На отображаемой странице найдите настраиваемую политику безопасности и нажмите Изменить в Операция столбце.
- В отображаемом диалоговом окне измените настраиваемую политику безопасности на основе Таблица 5.
- Щелкните OK.
Удаление настраиваемой политики безопасности
Вы можете удалить настраиваемую политику безопасности по мере необходимости.
Если пользовательская политика безопасности используется слушателем, её нельзя удалить. Сначала удалите политику безопасности из слушателя.
- Войдите в консоль управления.
- Щелкните в верхнем левом углу консоли и выберите нужный регион и проект.
- Щелкните в верхнем левом углу для отображения Список сервисов и выберите Сеть > Elastic Load Balance.
- В навигационной панели слева, выберите TLS Security Policies.
- На отображаемой странице найдите пользовательскую политику безопасности и щелкните Удалить в Операция столбец.
- В отображаемом диалоговом окне нажмите OK.
Выбор политики безопасности для HTTPS‑прослушивателя
- Войдите в консоль управления.
- Нажмите в верхнем левом углу консоли и выберите нужный регион и проект.
- Нажмите в верхнем левом углу для отображения Список сервисов и выберите Сеть > Elastic Load Balance.
- На отображаемой странице найдите балансировщик нагрузки и щёлкните его имя.
- На Прослушиватели вкладку, нажмите Добавить прослушиватель.
- На Добавить прослушиватель страницу, установите Протокол фронтенда к HTTPS.
- Развернуть Расширенные настройки (Необязательно) и выберите политику безопасности.
Вы можете выбрать политику безопасности по умолчанию или пользовательскую политику безопасности.
Если нет пользовательской политики безопасности, вы можете создать её, обратившись к Создание пользовательской политики безопасности.
- Подтвердите конфигурацию и перейдите к следующему шагу.
Изменение политики безопасности для прослушивателя HTTPS
- Войдите в консоль управления.
- Нажмите в верхнем левом углу консоли и выберите нужный регион и проект.
- Нажмите в верхнем левом углу для отображения Список сервисов и выберите Сеть > Elastic Load Balance.
- На отображаемой странице найдите балансировщик нагрузки и нажмите его имя.
- На Слушатели вкладке, найдите слушатель и нажмите его имя.
- На Сводка вкладке, нажмите Редактировать в верхнем правом углу.
- В Редактировать диалоговое окно, развернуть Дополнительные настройки (Необязательно) и изменить политику безопасности.
- Нажмите OK.