是否可以从 CloudFront 禁用某些特定密码?
Is it possible to disable some specific ciphers from CloudFront?
我正在使用一种工具进行安全检查,该工具将以下密码标记为弱密码:
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003C)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xC027)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xC028)
我使用的是最新的 CloudFront 安全策略,它是 TLSv1。2_2018 最小源 SSL 协议设置为 TLSv1.2。
但即使使用这些设置,仍然允许使用弱密码。
是否可以在 CloudFront 上禁用某些特定密码?
AWS 不允许客户为 Amazon CloudFront 选择单独的密码。相反,它允许客户在不同的安全策略之间进行选择。列出了可用的安全策略 in their documentation。截至目前,TLSv1.2_2018 是他们提供的最新安全策略,也是他们推荐客户使用的策略。此策略包括您要禁用的三个密码,因此如果没有这些密码,目前无法将 TLS 与 AWS CloudFront 结合使用。
除了现在向客户提供的安全策略外,AWS 已经在 s2n 中定义了与 Amazon CloudFront 一起使用的更新安全策略,他们在 public 的大部分内容中都使用了 TLS 实现面对产品。
查看 the source code of s2n 揭示了以下额外的安全策略及其支持的密码:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
最新的安全策略 (TLSv1.2_2020) 不再包含您要禁用的三个密码,因此只要 AWS 决定向其客户提供此安全策略,您就可以禁用有问题的密码。
我正在使用一种工具进行安全检查,该工具将以下密码标记为弱密码:
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003C)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xC027)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xC028)
我使用的是最新的 CloudFront 安全策略,它是 TLSv1。2_2018 最小源 SSL 协议设置为 TLSv1.2。
但即使使用这些设置,仍然允许使用弱密码。
是否可以在 CloudFront 上禁用某些特定密码?
AWS 不允许客户为 Amazon CloudFront 选择单独的密码。相反,它允许客户在不同的安全策略之间进行选择。列出了可用的安全策略 in their documentation。截至目前,TLSv1.2_2018 是他们提供的最新安全策略,也是他们推荐客户使用的策略。此策略包括您要禁用的三个密码,因此如果没有这些密码,目前无法将 TLS 与 AWS CloudFront 结合使用。
除了现在向客户提供的安全策略外,AWS 已经在 s2n 中定义了与 Amazon CloudFront 一起使用的更新安全策略,他们在 public 的大部分内容中都使用了 TLS 实现面对产品。
查看 the source code of s2n 揭示了以下额外的安全策略及其支持的密码:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
最新的安全策略 (TLSv1.2_2020) 不再包含您要禁用的三个密码,因此只要 AWS 决定向其客户提供此安全策略,您就可以禁用有问题的密码。