Mozilla 有一个工具可以生成服务器配置Mozilla SSL 配置生成器. 对于亚马逊弹性负载平衡(ELB),配置似乎没有“使用服务器首选项”的设置。
“使用服务器首选项”是一个重要的服务器端选项,因为它确保使用服务器选择的密码套件(而不是使用客户端的密码套件)(取它们的交集)。在 Apache 中,设置为SSLHonorCipherOrder。在 OpenSSL 中,设置为SSL_OP_CIPHER_SERVER_PREFERENCE。
什么是 ELB 设置来确保使用服务器对密码套件的偏好?
答案1
亚马逊的预定义安全策略已经这样做了。
如果您尝试使用 Mozilla 提供的 CloudFormation 模板,您将看到该属性已经存在。
{
"Name": "Server-Defined-Cipher-Order",
"Value": true
},
答案2
来自Elastic Load Balancing 的 SSL 协商配置文档部分:
服务器顺序偏好
Elastic Load Balancing 支持服务器顺序偏好用于协商客户端和负载均衡器之间连接的选项。在 SSL 连接协商过程中,客户端和负载均衡器会按优先顺序提供它们各自支持的密码和协议列表。默认情况下,客户端列表中与负载均衡器的任何一种密码匹配的第一个密码都会被选中用于 SSL 连接。如果负载均衡器配置为支持服务器顺序首选项,则负载均衡器会选择其列表中客户端密码列表中的第一个密码。这可确保负载均衡器确定哪个密码用于 SSL 连接。如果您未启用服务器顺序首选项,则客户端提供的密码顺序将用于协商客户端和负载均衡器之间的连接。
有关 Elastic Load Balancing 使用的密码顺序的信息,请参阅预定义 SSL 安全策略。