TLS Политика безопасности

Эта статья полезна?

Язык статьи: Русский

Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

Шифрование HTTPS обычно используется для приложений, требующих защищённую передачу данных, таких как банки и финансы. ELB позволяет использовать общие TLS политики безопасности для защиты передачи данных.

При добавлении HTTPS‑слушателей вы можете выбрать политики безопасности по умолчанию или создать пользовательскую политику для повышения безопасности.

Политика безопасности — это комбинация TLS протоколов разных версий и поддерживаемых наборов шифров.

Политика безопасности по умолчанию

Более поздняя версия TLS обеспечивает более высокий уровень безопасности HTTPS‑сообщений, но менее совместима с некоторыми браузерами.

Вы можете использовать более новые версии TLS для приложений, требующих повышенной безопасности, и более ранние версии TLS для приложений, которым нужна более широкая совместимость.

Таблица 1 Политики безопасности по умолчанию
Политика безопасности	Версии TLS	Наборы шифров
tls-1-0	TLS 1.2 TLS 1.1 TLS 1.0	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA
tls-1-1	TLS 1.2 TLS 1.1
tls-1-2	TLS 1.2
tls-1-0-inherit	TLS 1.2 TLS 1.1 TLS 1.0	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA DHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA DHE-DSS-AES128-SHA CAMELLIA128-SHA EDH-RSA-DES-CBC3-SHA DES-CBC3-SHA ECDHE-RSA-RC4-SHA RC4-SHA DHE-RSA-AES256-SHA DHE-DSS-AES256-SHA DHE-RSA-CAMELLIA256-SHA
tls-1-2-strict	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384
tls-1-0-with-1-3	TLS 1.3 TLS 1.2 TLS 1.1 TLS 1.0	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 AES128-GCM-SHA256 AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 AES128-SHA256 AES256-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-ECDSA-AES256-SHA AES128-SHA AES256-SHA TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_8_SHA256
tls-1-2-fs-with-1-3	TLS 1.3 TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_8_SHA256
tls-1-2-fs	TLS 1.2	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384
tls-1-2-strict-no-cbc	TLS 1.2	ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256

Note

В приведённой выше таблице перечислены наборы шифров, поддерживаемые ELB. Как правило, клиенты также поддерживают несколько наборов шифров. При реальном использовании используются наборы шифров, поддерживаемые ELB и клиентами, при этом наборы шифров, поддерживаемые ELB, имеют приоритет.

Различия между политиками безопасности по умолчанию

√ указывает, что метрика поддерживается, а x указывает, что метрика не поддерживается.

Таблица 2 Различия между политиками безопасности TLS
Политика безопасности	tls-1-0	tls-1-1	tls-1-2	tls-1-0-inherit	tls-1-2-strict	tls-1-0-with-1-3	tls-1-2-fs-with-1-3	tls-1-2-fs	tls-1-2-strict-no-cbc
Протокол-TLS 1.3	×	×	×	×	×	√	√	√	×
Протокол-TLS 1.2	√	√	√	√	√	√	√	√	√
Протокол TLS 1.1	√	√	×	√	×	√	×	×	×
Протокол TLS 0.1	√	×	×	√	×	√	×	×	×

Таблица 3 Различия между политиками безопасности TLS (наборы шифров)
Политика безопасности	tls-1-0	tls-1-1	tls-1-2	tls-1-0-inherit	tls-1-2-strict	tls-1-0-with-1-3	tls-1-2-fs-with-1-3	tls-1-2-fs	tls-1-2-strict-no-cbc
ECDHE-RSA-AES128-GCM-SHA256	√	√	√	×	√	×	×	×	√
ECDHE-RSA-AES256-GCM-SHA384	√	√	√	√	√	√	√	√	√
ECDHE-RSA-AES128-SHA256	√	√	√	√	√	√	√	√	×
ECDHE-RSA-AES256-SHA384	√	√	√	√	√	√	√	√	×
AES128-GCM-SHA256	√	√	√	√	√	√	×	×	×
AES256-GCM-SHA384	√	√	√	√	√	√	×	×	×
AES128-SHA256	√	√	√	√	√	√	×	×	×
AES256-SHA256	√	√	√	√	√	√	×	×	×
ECDHE-RSA-AES128-SHA	√	√	√	√	×	√	×	×	×
ECDHE-RSA-AES256-SHA	√	√	√	√	×	√	×	×	×
AES128-SHA	√	√	√	√	×	√	×	×	×
AES256-SHA	√	√	√	√	×	√	×	×	×
ECDHE-ECDSA-AES128-GCM-SHA256	√	√	√	√	√	√	√	√	√
ECDHE-ECDSA-AES128-SHA256	√	√	√	√	√	√	√	√	×
ECDHE-ECDSA-AES128-SHA	√	√	√	√	×	√	×	×	×
ECDHE-ECDSA-AES256-GCM-SHA384	√	√	√	√	√	√	√	√	√
ECDHE-ECDSA-AES256-SHA384	√	√	√	√	√	√	√	√	×
ECDHE-ECDSA-AES256-SHA	√	√	√	√	×	√	×	×	×
ECDHE-RSA-AES128-GCM-SHA256	×	×	×	√	×	√	√	√	×
TLS_AES_256_GCM_SHA384	×	×	×	×	×	√	√	√	×
TLS_CHACHA20_POLY1305_SHA256	×	×	×	×	×	√	√	√	×
TLS_AES_128_GCM_SHA256	×	×	×	×	×	√	√	√	×
TLS_AES_128_CCM_8_SHA256	×	×	×	×	×	√	√	√	×
TLS_AES_128_CCM_SHA256	×	×	×	×	×	√	√	√	×
DHE-RSA-AES128-SHA	×	×	×	√	×	×	×	×	×
DHE-DSS-AES128-SHA	×	×	×	√	×	×	×	×	×
CAMELLIA128-SHA	×	×	×	√	×	×	×	×	×
EDH-RSA-DES-CBC3-SHA	×	×	×	√	×	×	×	×	×
DES-CBC3-SHA	×	×	×	√	×	×	×	×	×
ECDHE-RSA-RC4-SHA	×	×	×	√	×	×	×	×	×
RC4-SHA	×	×	×	√	×	×	×	×	×
DHE-RSA-AES256-SHA	×	×	×	√	×	×	×	×	×
DHE-DSS-AES256-SHA	×	×	×	√	×	×	×	×	×
DHE-RSA-CAMELLIA256-SHA	×	×	×	√	×	×	×	×	×

Таблица 4 Политики безопасности и совместимые браузеры и клиенты
Политика безопасности	tls-1-0	tls-1-1	tls-1-2	tls-1-0-inherit	tls-1-2-strict	tls-1-0-with-1-3	tls-1-2-fs-with-1-3	tls-1-2-fs	tls-1-2-strict-no-cbc
Android 8.0	√	√	√	√	√	√	√	√	√
Android 9.0	√	√	√	√	√	√	√	√	√
Chrome 70 / Win 10	√	√	√	√	√	√	√	√	√
Chrome 80 / Win 10	√	√	√	√	√	√	√	√	√
Firefox 62 / Win 7	√	√	√	√	√	√	√	√	√
Firefox 73 / Win 10	√	√	√	√	√	√	√	√	√
IE 8 / XP	√	√	√	√	×	√	×	×	×
IE 8-10 / Win 7	√	√	√	√	×	√	×	×	×
IE 11 / Win 7	√	√	√	√	√	√	√	√	√
IE 11 / Win 10	√	√	√	√	√	√	√	√	√
Edge 15 / Win 10	√	√	√	√	√	√	√	√	√
Edge 16 / Win 10	√	√	√	√	√	√	√	√	√
Edge 18 / Win 10	√	√	√	√	√	√	√	√	√
Java 8u161	√	√	√	√	√	√	√	√	√
Java 11.0.3	√	√	√	√	√	√	√	√	√
Java 12.0.1	√	√	√	√	√	√	√	√	√
OpenSSL 1.0.2s	√	√	√	√	√	√	√	√	√
OpenSSL 1.1.0k	√	√	√	√	√	√	√	√	√
OpenSSL 1.1.1c	√	√	√	√	√	√	√	√	√
Safari 10 / iOS 10	√	√	√	√	√	√	√	√	√
Safari 10 / OS X 10.12	√	√	√	√	√	√	√	√	√
Safari 12.1.1 / iOS 12.3.1	√	√	√	√	√	√	√	√	√

Создание пользовательской политики безопасности

ELB позволяет использовать общие TLS политики безопасности для защиты передачи данных. Если необходимо использовать определённую версию TLS и отключить некоторые наборы шифров, вы можете создать пользовательскую политику безопасности и добавить её в HTTPS‑listener для повышения безопасности сервиса.

Войдите в консоль управления.
Нажмите в верхнем левом углу консоли и выберите нужный регион и проект.
Нажмите в верхнем левом углу, чтобы отобразить Список сервисов и выберите Сеть > Elastic Load Balance.
В навигационной панели слева выберите TLS политики безопасности.
На отображённой странице нажмите Создать пользовательскую политику безопасности в правом верхнем углу.

Настройте параметры на основе Таблица 5.

Таблица 5 Параметры пользовательской политики безопасности
Параметр	Описание
Имя	Указывает имя пользовательской политики безопасности.
Версия TLS	Указывает версию TLS, поддерживаемую пользовательской политикой безопасности. Вы можете выбрать несколько версий: TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3
Набор шифров	Указывает набор шифров, соответствующий выбранным версиям TLS.
Описание	Предоставляет дополнительную информацию о пользовательской политике безопасности.

Click OK.

Управление пользовательской политикой безопасности

После создания пользовательской политики безопасности вы можете изменить или удалить её.

Изменение пользовательской политики безопасности

При необходимости вы можете изменить имя, версию TLS, набор шифров и описание пользовательской политики безопасности.

Войдите в консоль управления.
Нажмите в левом верхнем углу консоли и выберите нужный регион и проект.
Нажмите в левом верхнем углу для отображения Список сервисов и выберите Сеть > Elastic Load Balance.
В навигационной панели слева выберите TLS Политики безопасности.
На TLS Политики безопасности странице, нажмите Пользовательские политики безопасности, найдите пользовательскую политику безопасности и нажмите Изменить в Операция столбце.
В отображаемом диалоговом окне измените пользовательскую политику безопасности, как описано в Таблица 5.
Нажмите OK.

Удаление пользовательской политики безопасности

Вы можете удалить пользовательскую политику безопасности по мере необходимости.

Note

Если пользовательская политика безопасности используется слушателем, её нельзя удалить. Сначала отсоедините политику безопасности от слушателя.

Войдите в консоль управления.
Нажмите в верхнем левом углу консоли и выберите нужный регион и проект.
Нажмите в верхнем левом углу, чтобы отобразить Список сервисов и выберите Сеть > Elastic Load Balance.
В навигационной панели слева выберите Политики безопасности TLS.
На Политики безопасности TLS странице, нажмите Пользовательские политики безопасности, найдите пользовательскую политику безопасности и нажмите Удалить в Операция столбце.
В отображаемом диалоговом окне нажмите OK.

Выбор политики безопасности для HTTPS Listener

Войдите в консоль управления.
Нажмите в верхнем левом углу консоли и выберите нужный регион и проект.
Нажмите в верхнем левом углу, чтобы отобразить Список сервисов и выберите Сеть > Elastic Load Balance.
На отображаемой странице найдите балансировщик нагрузки и щелкните его имя.
Под Слушатели, щелкните Добавить слушатель.
На Добавить слушатель страница, установите Протокол фронтенда в HTTPS.
Развернуть Дополнительные настройки и выберите политику безопасности.
Вы можете выбрать политика безопасности по умолчанию или пользовательскую политику безопасности.

Если нет пользовательской политики безопасности, вы можете создать её, обратившись к Создание пользовательской политики безопасности.
Подтвердите конфигурацию и перейдите к следующему шагу.

Изменение политики безопасности для HTTPS‑слушателя

Войдите в консоль управления.
Щелкните в верхнем левом углу консоли и выберите нужный регион и проект.
Щелкните в верхнем левом углу для отображения Список сервисов и выберите Сеть > Elastic Load Balance.
На отображенной странице найдите балансировщик нагрузки и щелкните его имя.
Щелкните Слушатели, найдите слушатель и щелкните его имя.
На Сводка вкладка, щелкните Редактировать в правом верхнем углу.
В Редактировать диалоговое окно, разверните Расширенные настройки и измените политику безопасности.
Щелкните OK.

Родительская тема: Безопасность

Предыдущая статья

Передача IP-адреса клиента

Следующая статья

SNI сертификат

Эта статья полезна?

Поддержка Юридические документы