В Mozilla есть инструмент для создания конфигураций сервера на Генератор конфигурации Mozilla SSL. Для Amazon Эластичная балансировка нагрузки (ELB), в конфигурации, похоже, нет параметра «использовать предпочтения сервера».
«Использовать предпочтения сервера» - важная опция на стороне сервера, поскольку она обеспечивает использование набора шифров, выбранного сервером (в отличие от использования набора шифров клиента) (по модулю их пересечения). В Apache этот параметр SSLHonorCipherOrder. В OpenSSL этот параметр SSL_OP_CIPHER_SERVER_PREFERENCE.
Какая настройка ELB гарантирует, что сервер предпочитает наборы шифров?
Стандартные политики безопасности Amazon уже делаю это.
Если вы пытаетесь использовать шаблон CloudFormation, предоставленный вам Mozilla, вы увидите, что атрибут уже существует.
{
"Name": "Server-Defined-Cipher-Order",
"Value": true
},
Из Конфигурации согласования SSL для эластичной балансировки нагрузки раздел документации:
Предпочтение порядка сервера
Elastic Load Balancing поддерживает Предпочтение порядка сервера опция для согласования соединений между клиентом и балансировщиком нагрузки. В процессе согласования SSL-соединения клиент и балансировщик нагрузки представляют список шифров и протоколов, которые каждый из них поддерживает, в порядке предпочтения. По умолчанию для SSL-соединения выбирается первый шифр в списке клиентов, который соответствует любому из шифров балансировщика нагрузки. Если балансировщик нагрузки настроен для поддержки предпочтений порядка сервера, тогда балансировщик нагрузки выбирает первый шифр в своем списке, который находится в списке шифров клиента. Это гарантирует, что балансировщик нагрузки определяет, какой шифр используется для SSL-соединения. Если вы не включите Server Order Preference, порядок шифров, представленный клиентом, используется для согласования соединений между клиентом и балансировщиком нагрузки.
Для получения информации о порядке шифров, используемых Elastic Load Balancing, см. Предопределенные политики безопасности SSL.