¿Los equilibradores de carga clásicos, los equilibradores de carga de aplicaciones y los equilibradores de carga de red admiten la reanudación de sesiones SSL/TLS?

4 minutos de lectura
0

Quiero saber si los equilibradores de carga clásicos, los equilibradores de carga de aplicaciones y los equilibradores de carga de red admiten la reanudación de sesiones Secure Sockets Layer/Transport Layer Security (SSL/TLS).

Resolución

Todos los tipos de equilibradores de carga admiten la reanudación de sesiones SSL/TLS. Sin embargo, los métodos de conexión que admiten varían.

Métodos de conexión SSL/TLS

Hay dos tipos de protocolo de conexión de TLS: completo y abreviado. El protocolo de conexión completo se realiza solo una vez. Tras el protocolo de conexión, el cliente establece una sesión SSL/TLS con el servidor. En las conexiones posteriores, el protocolo de conexión se utiliza para que la sesión negociada anteriormente se reanude con más rapidez.

Hay dos formas de establecer o reanudar una conexión TLS:

  • Identificadores de sesión SSL: este método se basa en que el cliente y el servidor mantengan los parámetros de seguridad de la sesión durante un tiempo determinado después de que finalice una conexión completamente negociada. Un servidor que tiene previsto utilizar la reanudación de la sesión asigna un identificador único a la sesión, denominado «identificador de sesión». A continuación, el servidor devuelve el identificador de sesión al cliente en el mensaje ServerHello. Para reanudar una sesión anterior, el cliente debe enviar el identificador de sesión correspondiente en su mensaje ClientHello. Si el servidor encuentra la sesión correspondiente en su caché y acepta la solicitud, devuelve el mismo identificador de sesión. A continuación, el servidor continúa con el protocolo de conexión SSL abreviado. En caso contrario, el servidor emite un nuevo identificador de sesión y cambia a un protocolo de conexión completo.
  • Solicitudes de sesión SSL: este método no requiere almacenamiento en el servidor. El servidor recopila todos los datos de la sesión, los cifra y, a continuación, los devuelve al cliente en forma de solicitud. En las conexiones posteriores, el cliente envía la solicitud de nuevo al servidor. A continuación, el servidor comprueba la integridad de la solicitud, descifra el contenido y utiliza la información que contiene para reanudar la sesión. Si el servidor o el cliente no admiten esta extensión, utilice el mecanismo de identificador de sesión integrado en SSL.

Métodos de conexión SSL/TLS compatibles para cada tipo de equilibrador de carga

Equilibradores de carga clásicos

Los equilibradores de carga clásicos admiten la reanudación de sesiones SSL/TLS basada en el identificador de sesión, pero no admiten la reanudación de la sesión SSL basada en solicitudes de sesión. El almacenamiento en caché de sesiones SSL se admite al nivel del nodo. Por ejemplo, supongamos que un cliente se conecta al nodo B mediante el identificador de sesión SSL recibido del nodo A. Cuando esto sucede, el protocolo de conexión SSL vuelve a ser un protocolo de conexión completo. A continuación, el nodo B genera un nuevo identificador de sesión SSL.

Equilibradores de carga de aplicaciones

Los equilibradores de carga de aplicaciones admiten la reanudación de sesiones SSL basada en solicitudes de sesión y en identificadores de sesión. Tanto los identificadores como las solicitudes de sesión se admiten al nivel del nodo. Por ejemplo, supongamos que un cliente se conecta al nodo B mediante el identificador de sesión SSL o la solicitud de sesión recibida del nodo A. Cuando esto ocurre, el protocolo de conexión SSL vuelve a ser un protocolo de enlace completo. A continuación, el nodo B genera un nuevo identificador de sesión SSL y una nueva solicitud de sesión.

Equilibradores de carga de red

Los equilibradores de carga de red solo admiten solicitudes de sesión para la reanudación de sesiones. La reanudación mediante solicitudes de sesión se admite a escala regional. Los clientes pueden reanudar las sesiones TLS con un equilibrador de carga de red mediante cualquiera de sus direcciones IP.

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 10 meses