Comment configurer les écouteurs TLS/SSL de mon Application Load Balancer pour qu'ils utilisent des chiffrements ECDSA ?

Lecture de 4 minute(s)
0

La politique de sécurité de mon Application Load Balancer répertorie les chiffrements RSA et ECDSA. Mais lorsque je me connecte à mon équilibreur de charge, seuls les chiffrements RSA sont sélectionnés.

Brève description

Vous pouvez configurer un écouteur HTTPS d'Application Load Balancer avec plusieurs certificats. Toutefois, cela nécessite une politique de sécurité. Chaque politique de sécurité contient des chiffrements pour les algorithmes cryptographiques RSA et ECDSA. Lors de l'établissement de la liaison TLS, Application Load Balancer utilise la logique du processus de sélection pour déterminer le certificat d'Application Load Balancer à utiliser pour la connexion HTTPS. Si le certificat choisi est créé avec des clés RSA ou ECDSA (courbe elliptique), Application Load Balancer utilise des chiffrements RSA ou ECDSA pour le chiffrement.

Résolution

Pour utiliser les chiffrements ECDSA avec votre Application Load Balancer, procédez comme suit :

Créez ou importez un nouveau certificat ECDSA dans ACM et liez-le à un écouteur HTTPS

Création d'un nouveau certificat ECDSA

Tout d'abord, déterminez vos exigences en matière de certificat. Demandez ensuite un certificat ECDSA auprès d'AWS Certificate Manager (ACM).

Importez le certificat ECDSA dans ACM

Après avoir travaillé avec votre autorité de certification pour obtenir le certificat ECDSA pour votre domaine au format .pem, importez votre nouveau certificat ECDSA dans ACM.

Après avoir créé ou importé votre certificat ECDSA dans ACM, associez-le à votre Application Load Balancer.

(Facultatif) Testez l'écouteur TLS de votre équilibreur de charge pour détecter les chiffrements pris en charge

Pour tester les protocoles et les chiffrements utilisés, utilisez un outil de ligne de commande open source, tel que sslscan.

Remarque : L'utilisation de sslscan vous permet d'obtenir des informations complètes sur tous les chiffrements sans recourir à un utilitaire tiers supplémentaire. Par exemple, si vous utilisez curl, vous devez spécifier des suites de chiffrement individuelles. Elles nécessitent des requêtes curl distinctes qui spécifient les protocoles TLS et les suites de chiffrement.

Vous pouvez installer et exécuter la commande sslscan sur n'importe quelle instance Linux Amazon Elastic Compute Cloud (Amazon EC2) ou depuis votre système local. Assurez-vous que l'équilibreur de charge que vous souhaitez tester accepte les connexions TLS provenant de votre adresse IP source.

Pour utiliser sslscan sur une instance Amazon Linux EC2, procédez comme suit :

1.    Activez le référentiel EPEL (Extra Packages for Enterprise Linux).

2.    Installez sslscan sur votre instance Linux Amazon EC2 :

sudo yum install sslscan

3.    Pour rechercher dans votre Application Load Balancer les chiffrements pris en charge, exécutez la commande suivante. Remplacez example.com par votre nom de domaine :

[ec2-user@ ~]$ sslscan --show-ciphers example.com | grep Accepted

Voici un exemple de sortie qui montre les résultats de l'exécution d'une analyse de vulnérabilité sur votre Application Load Balancer. Dans cet exemple, l'équilibreur de charge utilise un certificat ECDSA P-256 et une politique de sécurité par défaut :

    Accepted  TLSv1  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-ECDSA-AES128-SHA
    Accepted  TLS11  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLS11  128 bits  ECDHE-ECDSA-AES128-SHA
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-GCM-SHA384
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-SHA384
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-GCM-SHA256
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-SHA256
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-SHA

L'exemple de sortie suivant présente un équilibreur de charge avec un certificat RSA 2048 et une politique de sécurité par défaut :

    Accepted  TLSv1  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLS11  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLS11  256 bits  AES256-SHA
    Accepted  TLS11  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLS11  128 bits  AES128-SHA
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-GCM-SHA384
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-SHA384
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLS12  256 bits  AES256-GCM-SHA384
    Accepted  TLS12  256 bits  AES256-SHA256
    Accepted  TLS12  256 bits  AES256-SHA
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-GCM-SHA256
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-SHA256
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLS12  128 bits  AES128-GCM-SHA256
    Accepted  TLS12  128 bits  AES128-SHA256
    Accepted  TLS12  128 bits  AES128-SHA

Si vous avez correctement configuré votre certificat ECDSA sur votre Application Load Balancer, votre sortie affiche les suites de chiffrement ECDHE-ECDSA-* négociées. Si votre sortie montre d'autres suites de chiffrement, passez en revue et mettez à jour la politique de sécurité de votre Application Load Balancer.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 9 mois