Mozilla提供了一个在Mozilla SSLconfiguration生成器中生成服务器configuration的工具。 对于Amazon Elastic Load Balancing (ELB),configuration似乎没有“使用服务器首选项”的设置。
“使用服务器首选项”是一个重要的服务器端选项,因为它确保服务器使用密码套件的select(与使用客户端的密码套件相反)(以它们的交集为模)。 在Apache中,设置是SSLHonorCipherOrder 。 在OpenSSL中,设置是SSL_OP_CIPHER_SERVER_PREFERENCE 。
什么是ELB设置,以确保服务器使用密码套件的偏好?
亚马逊的预定义安全策略已经这样做 。
如果您尝试使用Mozilla提供的CloudFormation模板,则会看到该属性已经存在。
{ "Name": "Server-Defined-Cipher-Order", "Value": true },
从文档的Elastic Load Balancing的SSL协商configuration部分:
服务器顺序偏好
Elastic Load Balancing支持服务器顺序首选项选项,用于协商客户端和负载平衡器之间的连接。 在SSL连接协商过程中,客户端和负载均衡器按优先顺序列出它们各自支持的密码和协议。 默认情况下,为SSL连接select客户端列表中与任何一个负载均衡器密码匹配的第一个密码。 如果负载均衡器configuration为支持“服务器订购首选项”,则负载均衡器会select其列表中位于客户端的密码列表中的第一个密码。 这可确保负载均衡器确定哪个密码用于SSL连接。 如果您未启用服务器顺序首选项,则客户端提供的密码顺序将用于协商客户端与负载平衡器之间的连接。
有关Elastic Load Balancing使用的密码顺序的信息,请参阅预定义的SSL安全策略 。