¿Cómo configuro mis agentes de escucha TLS/SSL del equilibrador de carga de aplicación para que usen cifrados ECDSA?

4 minutos de lectura
0

La política de seguridad de mi equilibrador de carga de aplicación enumera los cifrados RSA y ECDSA. Pero cuando me conecto a mi equilibrador de carga, solo veo los cifrados RSA seleccionados.

Descripción corta

Puedes configurar un agente de escucha HTTPS del equilibrador de carga de aplicación con varios certificados. Sin embargo, requiere una política de seguridad. Cada política de seguridad contiene cifrados para los algoritmos criptográficos RSA y ECDSA. Durante el protocolo de enlace TLS, el equilibrador de carga de aplicación usa la lógica del proceso de selección para determinar qué certificado del equilibrador de carga de aplicación usar para la conexión HTTPS. Si el certificado elegido se crea con claves RSA o ECDSA (curva elíptica), el equilibrador de carga de aplicación usa cifrados RSA o ECDSA para el cifrado.

Resolución

Para usar los cifrados ECDSA con el equilibrador de carga de aplicación, sigue estos pasos:

Creación o importación de un nuevo certificado ECDSA a ACM y vinculación a un agente de escucha HTTPS

Creación de un nuevo certificado ECDSA

En primer lugar, determina los requisitos del certificado. A continuación, solicita un certificado ECDSA de AWS Certificate Manager (ACM).

Importación del certificado ECDSA a ACM

Después de trabajar con la autoridad de certificación para obtener el certificado ECDSA para tu dominio en formato .pem, importa el nuevo certificado ECDSA a ACM.

Después de crear o importar el certificado ECDSA a ACM, asócialo al equilibrador de carga de aplicación.

(Opcional) Prueba del agente de escucha TLS del equilibrador de carga para ver los cifrados compatibles

Para comprobar qué protocolos y cifrados se utilizan, utiliza una herramienta de línea de comandos de código abierto, como sslscan.

Nota: El uso de sslscan te permite obtener información completa de todos los cifrados sin utilizar una utilidad adicional de terceros. Por ejemplo, si usas curl, debes especificar conjuntos de cifrado individuales. Estos requieren solicitudes curl independientes que especifiquen los protocolos TLS y los conjuntos de cifrado.

Puedes instalar y ejecutar el comando sslscan en cualquier instancia de Linux de Amazon Elastic Compute Cloud (Amazon EC2) o desde tu sistema local. Asegúrate de que el equilibrador de carga que deseas probar acepte conexiones TLS desde la dirección IP de origen.

Para usar sslscan en una instancia de EC2 de Amazon Linux, sigue estos pasos:

1.    Activa el repositorio Paquetes adicionales para Enterprise Linux (EPEL).

2.    Instala sslscan en tu instancia de Linux de Amazon EC2:

sudo yum install sslscan

3.    Para analizar el equilibrador de carga de aplicación en busca de cifrados compatibles, ejecuta el siguiente comando. Sustituye ejemplo.com por tu nombre de dominio:

[ec2-user@ ~]$ sslscan --show-ciphers example.com | grep -E "Preferred|Accepted"

Este es un ejemplo de salida que muestra los resultados de ejecución de un análisis de vulnerabilidades en tu equilibrador de carga de aplicación. En este ejemplo, el equilibrador de carga usa un certificado ECDSA P-256 y una política de seguridad predeterminada:

    Accepted  TLSv1  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-ECDSA-AES128-SHA
    Accepted  TLS11  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLS11  128 bits  ECDHE-ECDSA-AES128-SHA
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-GCM-SHA384
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-SHA384
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-GCM-SHA256
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-SHA256
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-SHA

El siguiente ejemplo de salida presenta un equilibrador de carga con un certificado RSA 2048 y una política de seguridad predeterminada:

    Accepted  TLSv1  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLS11  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLS11  256 bits  AES256-SHA
    Accepted  TLS11  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLS11  128 bits  AES128-SHA
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-GCM-SHA384
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-SHA384
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLS12  256 bits  AES256-GCM-SHA384
    Accepted  TLS12  256 bits  AES256-SHA256
    Accepted  TLS12  256 bits  AES256-SHA
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-GCM-SHA256
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-SHA256
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLS12  128 bits  AES128-GCM-SHA256
    Accepted  TLS12  128 bits  AES128-SHA256
    Accepted  TLS12  128 bits  AES128-SHA

Si has configurado correctamente el certificado ECDSA en el equilibrador de carga de aplicación, el resultado mostrará los conjuntos de cifrado ECDHE-ECDSA-* negociados. Si el resultado muestra otros conjuntos de cifrado, revisa y actualiza la política de seguridad del equilibrador de carga de aplicación.

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un mes