為ALB配置HTTPS監聽時,TLS安全性原則決定了ALB與用戶端進行TLS協商時支援的TLS協議版本和密碼編譯演算法套件。ALB預置了部分常用的系統預設策略供使用者直接選擇。對於有定製安全性原則的特定需求情境,可以使用自訂TLS安全性原則。
工作原理
TLS安全性原則配置在ALB側,用於定義其在TLS協商中支援的TLS協議版本和密碼編譯演算法套件。在握手過程中,用戶端通過Client Hello發送支援的協議版本和加密套件列表,ALB根據策略從列表中選擇雙方都支援的協議版本和加密套件組合并以Server Hello響應,後續步驟(如金鑰交換、工作階段金鑰產生)均基於此方案進行。
系統預設策略
各類資訊安全標準可能對ALB的TLS安全性原則提出要求,使用者可展開下表查看系統預設策略支援的TLS協議版本和密碼編譯演算法套件,並按需配置。如系統預設策略無法滿足需求,可建立自訂策略。
-
擴充版ALB執行個體僅支援
tls_cipher_policy_1_0_to_1_3,且其他版本執行個體不支援該策略。 -
對於面向公網且無特殊相容性要求的應用,建議使用
tls_cipher_policy_1_2及以上策略。
控制台
前往ALB控制台的TLS安全性原則頁面,在系統預設策略頁簽查看策略的詳細資料。
API
調用ListSystemSecurityPolicies介面查詢系統預設策略。
自訂策略
僅標準版和WAF增強版ALB執行個體支援自訂策略;基礎版和擴充版ALB執行個體不支援。
建立自訂策略
控制台
-
前往ALB控制台的TLS安全性原則頁面,選擇ALB執行個體所在地區。
-
單擊建立自訂策略,參考以下資訊進行配置,配置完成後單擊建立。
-
選擇最低版本:如業務無特殊相容性要求,建議選擇TLS 1.2及以上保障安全性。
-
啟用TLS 1.3版本:為保障網路通訊的安全性與效率,建議在業務相容的前提下啟用。
-
選擇密碼編譯演算法套件:需要與TLS協議版本匹配。
-
-
建立完成後,即可在為監聽配置TLS安全性原則中選擇該自訂策略。
API
調用CreateSecurityPolicy建立自訂策略。注意自訂策略的地區必須與ALB執行個體的地區保持一致。
如需使用國密認證實現HTTPS加密通訊,請在建立自訂策略時選擇國密加密套件(ECC-SM2-WITH-SM4-SM3),詳見ALB配置國密HTTPS實現安全通訊。
更新自訂策略的TLS協議版本和密碼編譯演算法套件
控制台
-
前往ALB控制台的TLS安全性原則頁面,選擇自訂策略的地區。
-
找到目標自訂策略,單擊操作列的編輯,在編輯 TLS 安全性原則對話方塊更新TLS協議版本和密碼編譯演算法套件。
API
調用UpdateSecurityPolicyAttribute更新自訂策略屬性。
複製自訂策略到其他地區
控制台
-
前往ALB控制台的TLS安全性原則頁面,選擇自訂策略的地區。
-
找到目標自訂策略,單擊操作列的複制到其他地區,選擇目標地區並確定。
API
調用ListSecurityPolicies擷取自訂策略的TLSVersions和Ciphers等參數,在調用CreateSecurityPolicy建立自訂策略時傳入。
刪除自訂策略
若自訂策略已被監聽使用,請先修改監聽的TLS安全性原則或刪除監聽,方可刪除自訂策略。
控制台
-
前往ALB控制台的TLS安全性原則頁面,選擇自訂策略的地區。
-
找到目標自訂策略,單擊操作列的刪除並確定。
API
調用DeleteSecurityPolicy刪除自訂策略。
為監聽配置TLS安全性原則
擴充版ALB執行個體暫時僅支援選擇系統預設策略tls_cipher_policy_1_0_to_1_3 。
控制台
-
建立HTTPS監聽時,在配置SSL認證頁簽選擇TLS安全性原則;快速建立HTTPS監聽時,在快速建立監聽對話方塊中選擇TLS安全性原則。
-
修改TLS安全性原則:在執行個體詳情頁的監聽頁簽,單擊目標HTTPS監聽ID進入監聽詳情頁,在SSL 憑證地區修改TLS安全性原則。
API
調用CreateListener建立HTTPS監聽或調用UpdateListenerAttribute更新HTTPS監聽配置時,SecurityPolicyId欄位傳入TLS安全性原則。
-
可調用ListSystemSecurityPolicies查詢系統預設策略的
SecurityPolicyId。 -
可調用ListSecurityPolicies查詢自訂策略的
SecurityPolicyId。
計費說明
TLS安全性原則不產生費用,但您需要為ALB執行個體本身付費。
應用於生產環境
-
後端流量安全:為確保端到端安全,建議將ALB和後端伺服器部署在同一 VPC 內,並通過安全性群組等策略嚴格限制訪問。
-
TLS協議版本:如應用無特殊相容性要求,建議使用TLS 1.2和TLS 1.3保障安全性。
-
變更復原:調整TLS安全性原則後,若出現異常,可立即通過修改監聽配置復原。建議在業務低峰期進行變更。
-
金鑰交換演算法:如應用無特殊相容性要求,生產環境不建議使用以下RSA金鑰交換演算法套件:
AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、AES128-SHA、AES256-SHA、DES-CBC3-SHA。此類套件不支援前向保密(PFS),且存在側通道攻擊風險。建議優先選擇包含ECDHE或DHE金鑰交換的套件。
配置TLS安全性原則後仍提示不安全的排查
配置了較高版本的TLS安全性原則(如tls_cipher_policy_1_2_strict_with_1_3)後,用戶端訪問網站時仍可能提示認證不安全或串連不安全。此時可從以下方面排查。
-
用戶端或瀏覽器不相容所選TLS版本:部分舊版瀏覽器或作業系統不支援TLS 1.2及以上版本,會導致握手失敗並提示不安全。建議使用最新版Chrome或Firefox等主流瀏覽器進行測試,排除用戶端相容性問題。macOS上的Safari在某些版本中對TLS 1.3的支援存在差異,可切換到Chrome驗證。
-
認證到期或網域名稱不匹配:TLS安全性原則僅控制協議版本和加密套件的協商,不影響認證本身的有效性。若認證已到期、或認證中的網域名稱與實際訪問網域名稱不一致,瀏覽器同樣會提示不安全。請檢查ALB監聽綁定的認證是否在有效期間內,且認證的CN或SAN欄位覆蓋了當前訪問的網域名稱。
-
用戶端緩衝了舊的TLS串連資訊:瀏覽器可能緩衝了之前使用低版本TLS協議建立的會話資訊,導致短期內仍顯示舊的安全狀態。可清除瀏覽器緩衝和SSL狀態後重新訪問,或使用無痕模式開啟頁面進行驗證。
-
使用線上偵查工具驗證實際協商結果:通過SSL Labs(
https://www.ssllabs.com/ssltest/)等線上偵查工具掃描網站網域名稱,可查看ALB實際支援的TLS協議版本、加密套件及憑證鏈結資訊,確認策略是否已正確生效。
TLS密碼編譯演算法套件名稱對照表
下表提供了各密碼編譯演算法套件在OpenSSL格式、IANA標準格式和十六進位之間的對照關係。