use*_*014 7 amazon-web-services amazon-elb tls1.2
我使用 AWS ALB。我将其配置为最严格的安全策略,即“FS 1.2 res”,并且如此处所述,它仍然支持ECDHE-RSA-AES128-SHA256和ECDHE-RSA-AES256-SHA384
(TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256和TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384)
这些被认为是弱者。有没有办法在使用 AWS 时避免支持它们?
更新:AWS 添加了 ELBSecurityPolicy-FS-1-2-Res-2020-10 来满足需求
不幸的是,我很遗憾地说,没有任何预定义的安全策略可用于避免在应用程序负载均衡器 (ALB) 或网络负载均衡器 (NLB) 的情况下支持上述弱密码。此外,当前 ALB 或 NLB 不支持自定义安全策略。
\n话虽如此,我想通知您,已经存在一个有效的功能请求,以便能够将自定义安全策略附加到 ALB。我可以向您保证,我们的服务团队正在积极努力将此功能添加到 ALB。我们有一个跟踪该功能的内部请求,我已将您的声音添加到请求中以加快流程。但是,由于所有功能请求都要经过各种验证和回归测试过程,因此我没有任何预计发布此功能请求的时间。
\n目前唯一的解决方法是使用经典负载均衡器 (CLB),它支持附加自定义安全策略[1],您还可以启用服务器顺序首选项[2]。在这种情况下,ELB 选择其列表中位于客户端密码列表中的第一个密码。这可确保负载均衡器确定用于 SSL 连接的密码。如果不启用服务器顺序首选项,则客户端提供的密码顺序将用于协商客户端和负载均衡器之间的连接。
\n但请注意,CLB 不提供 ALB 那样强大的功能。
\n更新: \n AWS 添加了ELBSecurityPolicy-FS-1-2-Res-2020-10满足需求的功能
| 归档时间: |
|
| 查看次数: |
5731 次 |
| 最近记录: |