La política de seguridad de mi equilibrador de carga de aplicación enumera los cifrados RSA y ECDSA. Pero cuando me conecto a mi equilibrador de carga, solo veo los cifrados RSA seleccionados.
Descripción corta
Puedes configurar un agente de escucha HTTPS del equilibrador de carga de aplicación con varios certificados. Sin embargo, requiere una política de seguridad. Cada política de seguridad contiene cifrados para los algoritmos criptográficos RSA y ECDSA. Durante el protocolo de enlace TLS, el equilibrador de carga de aplicación usa la lógica del proceso de selección para determinar qué certificado del equilibrador de carga de aplicación usar para la conexión HTTPS. Si el certificado elegido se crea con claves RSA o ECDSA (curva elíptica), el equilibrador de carga de aplicación usa cifrados RSA o ECDSA para el cifrado.
Resolución
Para usar los cifrados ECDSA con el equilibrador de carga de aplicación, sigue estos pasos:
Creación o importación de un nuevo certificado ECDSA a ACM y vinculación a un agente de escucha HTTPS
Creación de un nuevo certificado ECDSA
En primer lugar, determina los requisitos del certificado. A continuación, solicita un certificado ECDSA de AWS Certificate Manager (ACM).
Importación del certificado ECDSA a ACM
Después de trabajar con la autoridad de certificación para obtener el certificado ECDSA para tu dominio en formato .pem, importa el nuevo certificado ECDSA a ACM.
Después de crear o importar el certificado ECDSA a ACM, asócialo al equilibrador de carga de aplicación.
(Opcional) Prueba del agente de escucha TLS del equilibrador de carga para ver los cifrados compatibles
Para comprobar qué protocolos y cifrados se utilizan, utiliza una herramienta de línea de comandos de código abierto, como sslscan.
Nota: El uso de sslscan te permite obtener información completa de todos los cifrados sin utilizar una utilidad adicional de terceros. Por ejemplo, si usas curl, debes especificar conjuntos de cifrado individuales. Estos requieren solicitudes curl independientes que especifiquen los protocolos TLS y los conjuntos de cifrado.
Puedes instalar y ejecutar el comando sslscan en cualquier instancia de Linux de Amazon Elastic Compute Cloud (Amazon EC2) o desde tu sistema local. Asegúrate de que el equilibrador de carga que deseas probar acepte conexiones TLS desde la dirección IP de origen.
Para usar sslscan en una instancia de EC2 de Amazon Linux, sigue estos pasos:
1. Activa el repositorio Paquetes adicionales para Enterprise Linux (EPEL).
2. Instala sslscan en tu instancia de Linux de Amazon EC2:
sudo yum install sslscan
3. Para analizar el equilibrador de carga de aplicación en busca de cifrados compatibles, ejecuta el siguiente comando. Sustituye ejemplo.com por tu nombre de dominio:
[ec2-user@ ~]$ sslscan --show-ciphers example.com | grep -E "Preferred|Accepted"
Este es un ejemplo de salida que muestra los resultados de ejecución de un análisis de vulnerabilidades en tu equilibrador de carga de aplicación. En este ejemplo, el equilibrador de carga usa un certificado ECDSA P-256 y una política de seguridad predeterminada:
Accepted TLSv1 256 bits ECDHE-ECDSA-AES256-SHA
Accepted TLSv1 128 bits ECDHE-ECDSA-AES128-SHA
Accepted TLS11 256 bits ECDHE-ECDSA-AES256-SHA
Accepted TLS11 128 bits ECDHE-ECDSA-AES128-SHA
Accepted TLS12 256 bits ECDHE-ECDSA-AES256-GCM-SHA384
Accepted TLS12 256 bits ECDHE-ECDSA-AES256-SHA384
Accepted TLS12 256 bits ECDHE-ECDSA-AES256-SHA
Accepted TLS12 128 bits ECDHE-ECDSA-AES128-GCM-SHA256
Accepted TLS12 128 bits ECDHE-ECDSA-AES128-SHA256
Accepted TLS12 128 bits ECDHE-ECDSA-AES128-SHA
El siguiente ejemplo de salida presenta un equilibrador de carga con un certificado RSA 2048 y una política de seguridad predeterminada:
Accepted TLSv1 256 bits ECDHE-RSA-AES256-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 128 bits ECDHE-RSA-AES128-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLS11 256 bits ECDHE-RSA-AES256-SHA
Accepted TLS11 256 bits AES256-SHA
Accepted TLS11 128 bits ECDHE-RSA-AES128-SHA
Accepted TLS11 128 bits AES128-SHA
Accepted TLS12 256 bits ECDHE-RSA-AES256-GCM-SHA384
Accepted TLS12 256 bits ECDHE-RSA-AES256-SHA384
Accepted TLS12 256 bits ECDHE-RSA-AES256-SHA
Accepted TLS12 256 bits AES256-GCM-SHA384
Accepted TLS12 256 bits AES256-SHA256
Accepted TLS12 256 bits AES256-SHA
Accepted TLS12 128 bits ECDHE-RSA-AES128-GCM-SHA256
Accepted TLS12 128 bits ECDHE-RSA-AES128-SHA256
Accepted TLS12 128 bits ECDHE-RSA-AES128-SHA
Accepted TLS12 128 bits AES128-GCM-SHA256
Accepted TLS12 128 bits AES128-SHA256
Accepted TLS12 128 bits AES128-SHA
Si has configurado correctamente el certificado ECDSA en el equilibrador de carga de aplicación, el resultado mostrará los conjuntos de cifrado ECDHE-ECDSA-* negociados. Si el resultado muestra otros conjuntos de cifrado, revisa y actualiza la política de seguridad del equilibrador de carga de aplicación.