為CLB配置HTTPS監聽時,TLS安全性原則決定了CLB與用戶端進行TLS協商時支援的TLS協議版本和密碼編譯演算法套件。CLB預置了部分常用的TLS安全性原則供使用者直接選擇。
工作原理
TLS安全性原則配置在CLB側,用於定義其在TLS協商中支援的TLS協議版本和密碼編譯演算法套件。在握手過程中,用戶端通過Client Hello發送支援的協議版本和加密套件列表,CLB根據策略從列表中選擇雙方都支援的協議版本和加密套件組合并以Server Hello響應,後續步驟(如金鑰交換、工作階段金鑰產生)均基於此方案進行。
TLS安全性原則
各類資訊安全標準可能對CLB的TLS安全性原則提出要求,使用者可展開下表查看各策略支援的TLS協議版本和密碼編譯演算法套件,使用者可按需配置。CLB不支援自訂TLS安全性原則,如有需求,可使用ALB或NLB。
對於面向公網且無特殊相容性要求的應用,建議使用 tls_cipher_policy_1_2 及以上策略。
為監聽配置TLS安全性原則
控制台
添加HTTPS監聽時,在SSL認證頁簽,單擊進階配置後面的編輯,在展開項中選擇TLS安全性原則。
修改TLS安全性原則:在執行個體詳情頁的監聽頁簽,單擊目標HTTPS監聽名稱開啟監聽詳情對話方塊,在SSL認證地區修改TLS安全性原則。
API
調用CreateLoadBalancerHTTPSListener建立HTTPS監聽或調用SetLoadBalancerHTTPSListenerAttribute修改HTTPS監聽的配置時,TLSCipherPolicy欄位傳入TLS安全性原則。
計費說明
TLS安全性原則本身不產生任何費用。購買和使用CLB執行個體將產生費用。
常見問題
CLB支援配置自訂TLS安全性原則嗎?
不支援。CLB目前僅支援預設的TLS安全性原則。
如有自訂TLS安全性原則的需求,推薦使用以下產品:
應用型負載平衡ALB:配置HTTPS監聽時,支援自訂TLS安全性原則。
網路型負載平衡NLB:配置TCPSSL監聽時,支援自訂TLS安全性原則。
應用於生產環境
TLS協議版本:如應用無特殊相容性要求,建議使用TLS 1.2和TLS 1.3保障安全性。
變更復原:調整TLS安全性原則後,若出現異常,可立即通過修改監聽配置復原。建議在業務低峰期進行變更。