全部產品
Search

搜尋本產品

    Server Load Balancer:TLS安全性原則

    文件中心

    Server Load Balancer:TLS安全性原則

    更新時間:Mar 28, 2026

    為ALB配置HTTPS監聽時,TLS安全性原則決定了ALB與用戶端進行TLS協商時支援的TLS協議版本和密碼編譯演算法套件。ALB預置了部分常用的系統預設策略供使用者直接選擇。對於有定製安全性原則的特定需求情境,可以使用自訂TLS安全性原則。

    工作原理

    TLS安全性原則配置在ALB側,用於定義其在TLS協商中支援的TLS協議版本和密碼編譯演算法套件。在握手過程中,用戶端通過Client Hello發送支援的協議版本和加密套件列表,ALB根據策略從列表中選擇雙方都支援的協議版本和加密套件組合并以Server Hello響應,後續步驟(如金鑰交換、工作階段金鑰產生)均基於此方案進行。

    系統預設策略

    各類資訊安全標準可能對ALB的TLS安全性原則提出要求,使用者可展開下表查看系統預設策略支援的TLS協議版本和密碼編譯演算法套件,並按需配置。如系統預設策略無法滿足需求,可建立自訂策略

    策略詳情

    策略名稱稱

    tls_cipher_policy_1_0

    tls_cipher_policy_1_1

    tls_cipher_policy_1_2

    tls_cipher_policy_1_2_strict

    tls_cipher_policy_1_2_strict_with_1_3

    tls_cipher_policy_1_0_to_1_3

    TLS協議版本

    v1.0

    支援

    不支援

    不支援

    不支援

    不支援

    支援

    v1.1

    支援

    支援

    不支援

    不支援

    不支援

    支援

    v1.2

    支援

    支援

    支援

    支援

    支援

    支援

    v1.3

    不支援

    不支援

    不支援

    不支援

    支援

    支援

    密碼編譯演算法套件

    ECDHE-ECDSA-AES128-GCM-SHA256

    支援

    支援

    支援

    支援

    支援

    支援

    ECDHE-ECDSA-AES256-GCM-SHA384

    支援

    支援

    支援

    支援

    支援

    支援

    ECDHE-ECDSA-AES128-SHA256

    支援

    支援

    支援

    支援

    支援

    不支援

    ECDHE-ECDSA-AES256-SHA384

    支援

    支援

    支援

    支援

    支援

    不支援

    ECDHE-RSA-AES128-GCM-SHA256

    支援

    支援

    支援

    支援

    支援

    支援

    ECDHE-RSA-AES256-GCM-SHA384

    支援

    支援

    支援

    支援

    支援

    支援

    ECDHE-RSA-AES128-SHA256

    支援

    支援

    支援

    支援

    支援

    不支援

    ECDHE-RSA-AES256-SHA384

    支援

    支援

    支援

    支援

    支援

    不支援

    AES128-GCM-SHA256

    支援

    支援

    支援

    不支援

    不支援

    不支援

    AES256-GCM-SHA384

    支援

    支援

    支援

    不支援

    不支援

    不支援

    AES128-SHA256

    支援

    支援

    支援

    不支援

    不支援

    不支援

    AES256-SHA256

    支援

    支援

    支援

    不支援

    不支援

    不支援

    ECDHE-ECDSA-AES128-SHA

    支援

    支援

    支援

    支援

    支援

    不支援

    ECDHE-ECDSA-AES256-SHA

    支援

    支援

    支援

    支援

    支援

    不支援

    ECDHE-RSA-AES128-SHA

    支援

    支援

    支援

    支援

    支援

    不支援

    ECDHE-RSA-AES256-SHA

    支援

    支援

    支援

    支援

    支援

    不支援

    AES128-SHA

    支援

    支援

    支援

    不支援

    不支援

    不支援

    AES256-SHA

    支援

    支援

    支援

    不支援

    不支援

    不支援

    DES-CBC3-SHA

    支援

    支援

    支援

    不支援

    不支援

    不支援

    TLS_AES_128_GCM_SHA256

    不支援

    不支援

    不支援

    不支援

    支援

    支援

    TLS_AES_256_GCM_SHA384

    不支援

    不支援

    不支援

    不支援

    支援

    支援

    TLS_CHACHA20_POLY1305_SHA256

    不支援

    不支援

    不支援

    不支援

    支援

    支援

    TLS_AES_128_CCM_SHA256

    不支援

    不支援

    不支援

    不支援

    支援

    支援

    TLS_AES_128_CCM_8_SHA256

    不支援

    不支援

    不支援

    不支援

    支援

    支援

    ECDHE-ECDSA-CHACHA20-POLY1305

    不支援

    不支援

    不支援

    不支援

    不支援

    不支援

    ECDHE-RSA-CHACHA20-POLY1305

    不支援

    不支援

    不支援

    不支援

    不支援

    不支援

    • 擴充版ALB執行個體僅支援tls_cipher_policy_1_0_to_1_3,且其他版本執行個體不支援該策略。

    • 對於面向公網且無特殊相容性要求的應用,建議使用 tls_cipher_policy_1_2 及以上策略。

    控制台

    前往ALB控制台的TLS安全性原則頁面,在系統預設策略頁簽查看策略的詳細資料。

    API

    調用ListSystemSecurityPolicies介面查詢系統預設策略。

    自訂策略

    僅標準版和WAF增強版ALB執行個體支援自訂策略;基礎版和擴充版ALB執行個體不支援。

    建立自訂策略

    控制台

    1. 前往ALB控制台的TLS安全性原則頁面,選擇ALB執行個體所在地區。

    2. 單擊建立自訂策略,參考以下資訊進行配置,配置完成後單擊建立

      • 選擇最低版本:如業務無特殊相容性要求,建議選擇TLS 1.2及以上保障安全性。

      • 啟用TLS 1.3版本:為保障網路通訊的安全性與效率,建議在業務相容的前提下啟用。

      • 選擇密碼編譯演算法套件:需要與TLS協議版本匹配。

    3. 建立完成後,即可在為監聽配置TLS安全性原則中選擇該自訂策略。

    API

    調用CreateSecurityPolicy建立自訂策略。注意自訂策略的地區必須與ALB執行個體的地區保持一致。

    如需使用國密認證實現HTTPS加密通訊,請在建立自訂策略時選擇國密加密套件(ECC-SM2-WITH-SM4-SM3),詳見ALB配置國密HTTPS實現安全通訊

    更新自訂策略的TLS協議版本和密碼編譯演算法套件

    控制台

    1. 前往ALB控制台的TLS安全性原則頁面,選擇自訂策略的地區。

    2. 找到目標自訂策略,單擊操作列的編輯,在編輯TLS安全性原則對話方塊更新TLS協議版本和密碼編譯演算法套件。

    API

    調用UpdateSecurityPolicyAttribute更新自訂策略屬性。

    複製自訂策略到其他地區

    控制台

    1. 前往ALB控制台的TLS安全性原則頁面,選擇自訂策略的地區。

    2. 找到目標自訂策略,單擊操作列的複製到其他地區,選擇目標地區並確定

    API

    調用ListSecurityPolicies擷取自訂策略的TLSVersionsCiphers等參數,在調用CreateSecurityPolicy建立自訂策略時傳入。

    刪除自訂策略

    若自訂策略已被監聽使用,請先修改監聽的TLS安全性原則或刪除監聽,方可刪除自訂策略。

    控制台

    1. 前往ALB控制台的TLS安全性原則頁面,選擇自訂策略的地區。

    2. 找到目標自訂策略,單擊操作列的刪除確定

    API

    調用DeleteSecurityPolicy刪除自訂策略。

    為監聽配置TLS安全性原則

    擴充版ALB執行個體暫時僅支援選擇系統預設策略tls_cipher_policy_1_0_to_1_3

    控制台

    • 建立HTTPS監聽時,在配置SSL認證頁簽選擇TLS安全性原則快速建立HTTPS監聽時,在快速建立監聽對話方塊中選擇TLS安全性原則

    • 修改TLS安全性原則:在執行個體詳情頁的監聽頁簽,單擊目標HTTPS監聽ID進入監聽詳情頁,在SSL認證地區修改TLS安全性原則

    API

    調用CreateListener建立HTTPS監聽或調用UpdateListenerAttribute更新HTTPS監聽配置時,SecurityPolicyId欄位傳入TLS安全性原則。

    計費說明

    TLS安全性原則不產生費用,但您需要為ALB執行個體本身付費

    應用於生產環境

    • 後端流量安全:為確保端到端安全,建議將ALB和後端伺服器部署在同一 VPC 內,並通過安全性群組等策略嚴格限制訪問。

    • TLS協議版本:如應用無特殊相容性要求,建議使用TLS 1.2和TLS 1.3保障安全性。

    • 變更復原:調整TLS安全性原則後,若出現異常,可立即通過修改監聽配置復原。建議在業務低峰期進行變更。

    • 金鑰交換演算法:如應用無特殊相容性要求,生產環境不建議使用以下RSA金鑰交換演算法套件:AES128-GCM-SHA256AES256-GCM-SHA384AES128-SHA256AES256-SHA256AES128-SHAAES256-SHADES-CBC3-SHA。此類套件不支援前向保密(PFS),且存在側通道攻擊風險。建議優先選擇包含ECDHE或DHE金鑰交換的套件。

    TLS密碼編譯演算法套件名稱對照表

    下表提供了各密碼編譯演算法套件在OpenSSL格式、IANA標準格式和十六進位之間的對照關係。

    對照表詳情

    OpenSSL格式

    IANA標準格式

    十六進位

    ECDHE-ECDSA-AES128-GCM-SHA256

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

    0xC02B

    ECDHE-ECDSA-AES256-GCM-SHA384

    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

    0xC02C

    ECDHE-ECDSA-AES128-SHA256

    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

    0xC023

    ECDHE-ECDSA-AES256-SHA384

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

    0xC024

    ECDHE-RSA-AES128-GCM-SHA256

    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    0xC02F

    ECDHE-RSA-AES256-GCM-SHA384

    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    0xC030

    ECDHE-RSA-AES128-SHA256

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    0xC027

    ECDHE-RSA-AES256-SHA384

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    0xC028

    AES128-GCM-SHA256

    TLS_RSA_WITH_AES_128_GCM_SHA256

    0x009C

    AES256-GCM-SHA384

    TLS_RSA_WITH_AES_256_GCM_SHA384

    0x009D

    AES128-SHA256

    TLS_RSA_WITH_AES_128_CBC_SHA256

    0x003C

    AES256-SHA256

    TLS_RSA_WITH_AES_256_CBC_SHA256

    0x003D

    ECDHE-ECDSA-AES128-SHA

    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

    0xC009

    ECDHE-ECDSA-AES256-SHA

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

    0xC00A

    ECDHE-RSA-AES128-SHA

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    0xC013

    ECDHE-RSA-AES256-SHA

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    0xC014

    AES128-SHA

    TLS_RSA_WITH_AES_128_CBC_SHA

    0x002F

    AES256-SHA

    TLS_RSA_WITH_AES_256_CBC_SHA

    0x0035

    DES-CBC3-SHA

    TLS_RSA_WITH_3DES_EDE_CBC_SHA

    0x000A

    TLS_AES_256_GCM_SHA384

    TLS_AES_256_GCM_SHA384

    0x1302

    TLS_CHACHA20_POLY1305_SHA256

    TLS_CHACHA20_POLY1305_SHA256

    0x1303

    TLS_AES_128_CCM_SHA256

    TLS_AES_128_CCM_SHA256

    0x1304

    TLS_AES_128_CCM_8_SHA256

    TLS_AES_128_CCM_8_SHA256

    0x1305