All Products
Search

This Product

    Server Load Balancer:Kebijakan keamanan TLS

    Document Center

    Server Load Balancer:Kebijakan keamanan TLS

    Last Updated:Mar 28, 2026

    Saat mengonfigurasi HTTPS Listener untuk instans Application Load Balancer (ALB), kebijakan keamanan TLS menentukan versi protokol TLS dan paket sandi yang digunakan untuk bernegosiasi dengan klien. ALB menyediakan beberapa kebijakan default yang telah ditentukan sebelumnya. Jika kebijakan tersebut tidak memenuhi persyaratan keamanan Anda, Anda dapat membuat kebijakan kustom.

    Cara kerja

    Kebijakan keamanan TLS pada instans ALB menentukan versi protokol TLS dan paket sandi yang didukung oleh instans tersebut untuk negosiasi TLS. Selama Proses jabat tangan TLS, klien mengirim daftar versi protokol dan paket sandi yang didukungnya dalam pesan Client Hello. Berdasarkan kebijakan ini, instans ALB memilih protokol dan paket sandi yang didukung oleh kedua belah pihak, lalu merespons dengan pesan Server Hello. Kombinasi yang dipilih menentukan langkah-langkah selanjutnya, seperti pertukaran kunci dan pembuatan kunci sesi.

    Kebijakan default

    Berbagai standar keamanan informasi mungkin mensyaratkan kebijakan keamanan TLS tertentu untuk instans ALB Anda. Tinjau tabel di bawah ini untuk menemukan kebijakan default yang memenuhi persyaratan keamanan dan kepatuhan Anda. Jika tidak ada yang memenuhi kebutuhan Anda, Anda dapat membuat kebijakan kustom.

    Detail kebijakan

    Nama kebijakan

    tls_cipher_policy_1_0

    tls_cipher_policy_1_1

    tls_cipher_policy_1_2

    tls_cipher_policy_1_2_strict

    tls_cipher_policy_1_2_strict_with_1_3

    tls_cipher_policy_1_0_to_1_3

    Versi protokol TLS

    v1.0

    Didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    v1.1

    Didukung

    Didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    v1.2

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    v1.3

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    Didukung

    Paket sandi

    ECDHE-ECDSA-AES128-GCM-SHA256

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    ECDHE-ECDSA-AES256-GCM-SHA384

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    ECDHE-ECDSA-AES128-SHA256

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Tidak didukung

    ECDHE-ECDSA-AES256-SHA384

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Tidak didukung

    ECDHE-RSA-AES128-GCM-SHA256

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    ECDHE-RSA-AES256-GCM-SHA384

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    ECDHE-RSA-AES128-SHA256

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Tidak didukung

    ECDHE-RSA-AES256-SHA384

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Tidak didukung

    AES128-GCM-SHA256

    Didukung

    Didukung

    Didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    AES256-GCM-SHA384

    Didukung

    Didukung

    Didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    AES128-SHA256

    Didukung

    Didukung

    Didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    AES256-SHA256

    Didukung

    Didukung

    Didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    ECDHE-ECDSA-AES128-SHA

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Tidak didukung

    ECDHE-ECDSA-AES256-SHA

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Tidak didukung

    ECDHE-RSA-AES128-SHA

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Tidak didukung

    ECDHE-RSA-AES256-SHA

    Didukung

    Didukung

    Didukung

    Didukung

    Didukung

    Tidak didukung

    AES128-SHA

    Didukung

    Didukung

    Didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    AES256-SHA

    Didukung

    Didukung

    Didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    DES-CBC3-SHA

    Didukung

    Didukung

    Didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    TLS_AES_128_GCM_SHA256

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    Didukung

    TLS_AES_256_GCM_SHA384

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    Didukung

    TLS_CHACHA20_POLY1305_SHA256

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    Didukung

    TLS_AES_128_CCM_SHA256

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    Didukung

    TLS_AES_128_CCM_8_SHA256

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Didukung

    Didukung

    ECDHE-ECDSA-CHACHA20-POLY1305

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    ECDHE-RSA-CHACHA20-POLY1305

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    Tidak didukung

    • Instans ALB Edisi Extensible hanya mendukung kebijakan tls_cipher_policy_1_0_to_1_3, yang tidak berlaku untuk edisi lainnya.

    • Untuk aplikasi yang menghadap Internet tanpa persyaratan kompatibilitas khusus, kami merekomendasikan penggunaan tls_cipher_policy_1_2 atau kebijakan yang lebih ketat.

    Konsol

    Buka halaman Kebijakan Keamanan TLS di Konsol ALB. Pada tab Default Policy, Anda dapat melihat detail setiap kebijakan.

    API

    Panggil operasi ListSystemSecurityPolicies untuk menanyakan kebijakan default.

    Kebijakan kustom

    Kebijakan kustom hanya didukung oleh instans ALB Standard dan ALB yang diaktifkan WAF. Instans ALB Basic atau Extensible tidak mendukung fitur ini.

    Buat kebijakan kustom

    Konsol

    1. Buka halaman Kebijakan Keamanan TLS di Konsol ALB dan pilih Wilayah instans ALB Anda.

    2. Klik Create Custom Policy. Konfigurasikan parameter berikut dan klik Create.

      • Minimum Version: Jika layanan Anda tidak memiliki persyaratan kompatibilitas khusus, pilih TLS 1.2 or Later untuk memastikan keamanan.

      • Enable TLS 1.3: Untuk keamanan yang lebih kuat dan performa yang lebih baik, pilih opsi ini jika klien dan layanan backend Anda mendukungnya.

      • Cipher Suite: Paket sandi yang dipilih harus kompatibel dengan versi protokol TLS yang dipilih.

    3. Setelah kebijakan dibuat, Anda dapat memilihnya saat mengaitkan kebijakan keamanan TLS dengan listener.

    API

    Panggil operasi CreateSecurityPolicy untuk membuat kebijakan kustom. Agar dapat digunakan untuk instans ALB, Wilayahnya harus sama.

    Untuk menggunakan Sertifikat algoritma SM guna enkripsi HTTPS, pastikan memilih paket sandi algoritma SM ECC-SM2-WITH-SM4-SM3 saat membuat kebijakan keamanan TLS kustom. Untuk petunjuk lengkap, lihat 4. Buat kebijakan keamanan TLS yang mencakup paket sandi SM.

    Perbarui kebijakan kustom

    Konsol

    1. Buka halaman Kebijakan Keamanan TLS di Konsol ALB dan pilih Wilayah kebijakan kustom tersebut.

    2. Temukan kebijakan kustom target dan klik Modify di kolom Actions. Di kotak dialog Modify TLS Security Policy, perbarui versi protokol TLS dan paket sandi.

    API

    Panggil operasi UpdateSecurityPolicyAttribute untuk memperbarui atribut kebijakan kustom.

    Salin kebijakan kustom ke wilayah lain

    Konsol

    1. Buka halaman Kebijakan Keamanan TLS di Konsol ALB dan pilih Wilayah kebijakan kustom tersebut.

    2. Temukan kebijakan kustom target, klik Replicate to Other Regions di kolom Actions, pilih Wilayah tujuan, lalu klik OK.

    API

    Panggil operasi ListSecurityPolicies untuk mengambil parameter TLSVersions dan Ciphers dari kebijakan kustom tersebut. Kemudian, panggil operasi CreateSecurityPolicy di Wilayah tujuan, dengan meneruskan parameter-parameter tersebut.

    Hapus kebijakan kustom

    Anda tidak dapat menghapus kebijakan kustom yang dikaitkan dengan listener. Untuk menghapus kebijakan tersebut, Anda harus terlebih dahulu mengubah kebijakan keamanan TLS listener atau menghapus listener tersebut.

    Konsol

    1. Buka halaman Kebijakan Keamanan TLS di Konsol ALB dan pilih Wilayah kebijakan kustom tersebut.

    2. Temukan kebijakan kustom target, klik Delete di kolom Actions, lalu klik OK.

    API

    Panggil operasi DeleteSecurityPolicy untuk menghapus kebijakan kustom.

    Kaitkan kebijakan keamanan TLS dengan listener

    Saat ini, instans ALB Edisi Extensible hanya mendukung kebijakan tls_cipher_policy_1_0_to_1_3.

    Konsol

    • Saat Anda membuat listener HTTPS, pilih TLS Security Policy pada langkah Configure SSL Certificate. Saat Anda membuat listener HTTPS secara cepat, pilih TLS Security Policy di kotak dialog Quick Create Listener.

    • Untuk mengubah kebijakan listener, buka halaman detail listener tersebut. Pada tab Listener Details, di bagian SSL Certificate, klik ikon edit di samping kebijakan yang sedang digunakan dan pilih TLS Security Policy baru.

    API

    Saat Anda memanggil operasi CreateListener untuk membuat listener HTTPS atau operasi UpdateListenerAttribute untuk memperbarui listener HTTPS, tentukan kebijakan keamanan TLS dalam parameter SecurityPolicyId.

    Penagihan

    Kebijakan keamanan TLS tidak dikenai biaya. Anda hanya dikenai biaya untuk pembelian dan penggunaan instans ALB.

    Penerapan di lingkungan produksi

    • Keamanan alur backend: Untuk memastikan Keamanan ujung ke ujung, deploy instans ALB dan server backend Anda dalam Virtual Private Cloud (VPC) yang sama. Gunakan grup keamanan dan kebijakan lainnya untuk mengontrol akses secara ketat.

    • Versi protokol TLS: Jika aplikasi Anda tidak memiliki persyaratan kompatibilitas khusus, gunakan TLS 1.2 dan TLS 1.3 untuk memastikan keamanan.

    • Rollback: Jika Anda mengalami masalah setelah mengubah kebijakan keamanan TLS, Anda dapat kembali ke kebijakan sebelumnya dengan mengedit konfigurasi listener. Lakukan perubahan ini selama jam sepi.

    • Algoritma pertukaran kunci: Hindari penggunaan paket sandi berbasis RSA berikut di lingkungan produksi karena tidak memiliki Perfect Forward Secrecy (PFS) dan rentan terhadap serangan side-channel:

      • AES128-GCM-SHA256

      • AES256-GCM-SHA384

      • AES128-SHA256

      • AES256-SHA256

      • AES128-SHA

      • AES256-SHA

      • DES-CBC3-SHA

      Sebagai gantinya, prioritaskan paket sandi yang mencakup algoritma pertukaran kunci ECDHE atau DHE, kecuali jika Anda memiliki kebutuhan kompatibilitas legacy tertentu.

    Referensi paket sandi TLS

    Tabel ini menyediakan pemetaan nama paket sandi TLS antara format OpenSSL, format standar IANA, dan representasi heksadesimalnya.

    Tabel referensi

    Format OpenSSL

    Format standar IANA

    Nilai heksadesimal

    ECDHE-ECDSA-AES128-GCM-SHA256

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

    0xC02B

    ECDHE-ECDSA-AES256-GCM-SHA384

    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

    0xC02C

    ECDHE-ECDSA-AES128-SHA256

    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

    0xC023

    ECDHE-ECDSA-AES256-SHA384

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

    0xC024

    ECDHE-RSA-AES128-GCM-SHA256

    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    0xC02F

    ECDHE-RSA-AES256-GCM-SHA384

    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    0xC030

    ECDHE-RSA-AES128-SHA256

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    0xC027

    ECDHE-RSA-AES256-SHA384

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    0xC028

    AES128-GCM-SHA256

    TLS_RSA_WITH_AES_128_GCM_SHA256

    0x009C

    AES256-GCM-SHA384

    TLS_RSA_WITH_AES_256_GCM_SHA384

    0x009D

    AES128-SHA256

    TLS_RSA_WITH_AES_128_CBC_SHA256

    0x003C

    AES256-SHA256

    TLS_RSA_WITH_AES_256_CBC_SHA256

    0x003D

    ECDHE-ECDSA-AES128-SHA

    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

    0xC009

    ECDHE-ECDSA-AES256-SHA

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

    0xC00A

    ECDHE-RSA-AES128-SHA

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    0xC013

    ECDHE-RSA-AES256-SHA

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    0xC014

    AES128-SHA

    TLS_RSA_WITH_AES_128_CBC_SHA

    0x002F

    AES256-SHA

    TLS_RSA_WITH_AES_256_CBC_SHA

    0x0035

    DES-CBC3-SHA

    TLS_RSA_WITH_3DES_EDE_CBC_SHA

    0x000A

    TLS_AES_256_GCM_SHA384

    TLS_AES_256_GCM_SHA384

    0x1302

    TLS_CHACHA20_POLY1305_SHA256

    TLS_CHACHA20_POLY1305_SHA256

    0x1303

    TLS_AES_128_CCM_SHA256

    TLS_AES_128_CCM_SHA256

    0x1304

    TLS_AES_128_CCM_8_SHA256

    TLS_AES_128_CCM_8_SHA256

    0x1305