AWS ALB - 阻止使用 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

AWS ALB - prevent usage of TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

我使用 AWS ALB。我将它配置为最严格的安全策略,即“FS 1.2 res”,并且如所述 here 它仍然支持 ECDHE-RSA-AES128-SHA256ECDHE-RSA-AES256-SHA384

(TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384)

这些被认为是弱的。有没有办法在使用 AWS 时避免支持它们?

更新:AWS 添加了满足需求的 ELBSecurityPolicy-FS-1-2-Res-2020-10

如果您使用 ALB,则只能使用 security policies

CloudFronts policies 也使用他们的策略强制执行此密码套件,因此您将无法通过这种方式绕过它。

虽然它们现在是遗留的,但经典负载均衡器确实有一项功能允许您 configure a security policy 在您的负载均衡器上,而不是绑定到预定义的负载均衡器。

或者,如果您不想使用它,则需要使用网络负载均衡器(替换 ALB 或位于 ALB 前面的代理前面)。通过使用 NLB,您的目标主机可以定义密码套件和 TLS 版本。

这是 AWS 的正式回答

不幸的是,我很遗憾地说,在应用程序负载均衡器 (ALB) 或网络负载均衡器 (NLB) 的情况下,您可以使用任何预定义的安全策略来避免支持上述弱密码。此外,目前 ALB 或 NLB 不支持自定义安全策略。

话虽如此,我想通知您,已经有一个活动功能请求可以将自定义安全策略附加到 ALB。我可以向您保证,我们的服务团队正在积极努力将此功能添加到 ALB。我们有一个内部请求来跟踪该功能,我已将您的声音添加到加快流程的请求中。但是,由于所有功能请求都要经过各种验证和回归测试过程,因此我不知道何时发布此功能请求。

解决方法:

目前唯一的解决方法是使用经典负载均衡器 (CLB),它支持附加自定义安全策略[1],您还可以启用服务器顺序首选项[2]。在这种情况下,ELB 选择其列表中位于客户端密码列表中的第一个密码。这可确保负载平衡器确定将哪个密码用于 SSL 连接。如果不启用服务器顺序首选项,客户端提供的密码顺序将用于协商客户端和负载平衡器之间的连接。

但是,请注意,CLB 不像 ALB 那样提供强大的功能。

更新: AWS 添加了 ELBSecurityPolicy-FS-1-2-Res-2020-10 来满足需求