Unterstützen Classic Load Balancers, Application Load Balancers und Network Load Balancers die Wiederaufnahme von SSL/TLS-Sitzungen?

Auflösung

Alle Arten von Load Balancern unterstützen die Wiederaufnahme von SSL/TLS-Sitzungen. Die von ihnen unterstützten Verbindungsmethoden sind jedoch unterschiedlich.

SSL/TLS-Verbindungsmethoden

Es gibt zwei Arten von TLS-Handshakes: vollständige und abgekürzte. Der vollständige Handschlag wird nur einmal durchgeführt. Nach dem Handshake richtet der Client eine SSL/TLS-Sitzung mit dem Server ein. Bei nachfolgenden Verbindungen wird der abgekürzte Handshake verwendet, um die zuvor ausgehandelte Sitzung schneller fortzusetzen.

Es gibt zwei Möglichkeiten, eine TLS-Verbindung herzustellen oder wieder aufzunehmen:

• SSL-Sitzungs-IDs — Diese Methode basiert darauf, dass sowohl der Client als auch der Server die Sicherheitsparameter der Sitzung für einen bestimmten Zeitraum beibehalten, nachdem eine vollständig ausgehandelte Verbindung beendet wurde. Ein Server, der beabsichtigt, die Sitzungswiederaufnahme zu verwenden, weist der Sitzung eine eindeutige Kennung zu, die sogenannte Sitzungs-ID. Der Server gibt dann die Sitzungs-ID in der ServerHello-Nachricht an den Client zurück. Um eine frühere Sitzung fortzusetzen, muss der Client in seiner ClientHello-Nachricht die entsprechende Sitzungs-ID angeben. Wenn der Server die entsprechende Sitzung in seinem Cache findet und die Anfrage akzeptiert, gibt der Server den gleichen Sitzungsbezeichner zurück. Der Server fährt dann mit dem abgekürzten SSL-Handshake fort. Andernfalls gibt der Server eine neue Sitzungskennung aus und wechselt zu einem vollständigen Handshake.
• SSL-Sitzungstickets — Diese Methode erfordert keinen serverseitigen Speicher. Der Server sammelt alle Sitzungsdaten, verschlüsselt sie und gibt sie dann in Form eines Tickets an den Client zurück. Bei nachfolgenden Verbindungen sendet der Client das Ticket an den Server zurück. Anschließend überprüft der Server die Integrität des Tickets, entschlüsselt den Inhalt und verwendet die darin enthaltenen Informationen, um die Sitzung fortzusetzen. Wenn der Server oder Client diese Erweiterung nicht unterstützt, greifen Sie auf den in SSL integrierten Sitzungskennungsmechanismus zurück.

Unterstützte SSL/TLS-Verbindungsmethoden für jeden Load Balancer-Typ

Classic Load Balancers

Classic Load Balancers unterstützen die Wiederaufnahme von SSL/TLS-Sitzungen auf der Grundlage einer Sitzungs-ID, unterstützen jedoch keine auf Sitzungstickets basierende SSL-Sitzungswiederaufnahme. Das Caching von SSL-Sitzungen wird auf Knotenebene unterstützt. Nehmen wir beispielsweise an, dass ein Client mithilfe der von Knoten A erhaltenen SSL-Sitzungs-ID eine Verbindung zu Knoten B herstellt. In diesem Fall wird der SSL-Handshake wieder auf einen vollständigen Handshake zurückgesetzt. Danach wird von Knoten B eine neue SSL-Sitzungs-ID generiert.

Application Load Balancers

Application Load Balancers unterstützen sowohl die Sitzungskennung als auch die auf Sitzungstickets basierende SSL-Sitzungswiederaufnahme. Sowohl Sitzungs-IDs als auch Sitzungstickets werden auf Knotenebene unterstützt. Nehmen wir beispielsweise an, dass ein Client über die SSL-Sitzungs-ID oder das von Knoten A empfangene Sitzungsticket eine Verbindung zu Knoten B herstellt. In diesem Fall wird der SSL-Handshake wieder auf einen vollständigen Handshake zurückgesetzt. Danach werden eine neue SSL-Sitzungs-ID und ein Sitzungsticket von Knoten B generiert.

Netzwerk-Load-Balancers

Network Load Balancers unterstützen nur Sitzungstickets für die Wiederaufnahme der Sitzung. Die Wiederaufnahme mit Sitzungstickets wird auf regionaler Ebene unterstützt. Clients können TLS-Sitzungen mit einem Network Load Balancer unter Verwendung einer beliebigen IP-Adresse fortsetzen.