vin*_*dev 1 security amazon-web-services amazon-cloudfront
我正在使用一个工具进行安全检查,这个工具将以下密码标记为弱:
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003C)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xC027)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xC028)
我正在使用最新的 CloudFront 安全策略,即 TLSv1.2_2018 和设置为 TLSv1.2 的最小源 SSL 协议。
但即使有这些设置,仍然允许使用弱密码。
是否可以在 CloudFront 上禁用某些特定密码?
AWS 不允许客户为 Amazon CloudFront 选择单独的密码。相反,它允许客户在不同的安全策略之间进行选择。可用的安全策略列在其文档中。截至目前,TLSv1.2_2018是他们提供的最新安全策略,也是他们推荐客户使用的策略。此策略包括您要禁用的三种密码,因此如果没有这些密码,目前无法将 TLS 与 AWS CloudFront 一起使用。
除了现在向客户提供的安全策略之外,AWS 已经定义了更新的安全策略,以与 Amazon CloudFronts2n一起使用,这是他们用于大多数面向公众的产品的 TLS 实现。
查看源代码会s2n发现以下额外的安全策略和它们支持的密码:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
最新的安全策略 ( TLSv1.2_2020) 不再包含您想要禁用的三种密码,因此每当 AWS 决定向其客户提供此安全策略时,您都可以禁用相关密码。
| 归档时间: |
|
| 查看次数: |
1834 次 |
| 最近记录: |