Classic Load Balancers、Application Load Balancers 及网络负载均衡器支持 SSL/TLS 会话恢复吗?

上次更新时间:2020 年 5 月 26 日

Classic Load Balancers,Application Load Balancers 及网络负载均衡器支持安全套接字层/传输层安全性(SSL/TLS)会话恢复吗?

解决方案

所有类型的负载均衡器均支持 SSL/TLS 会话恢复。不过,它们所支持的连接方法并不相同。

SSL/TLS 连接方法

TLS 握手有两种类型:完整握手和简短握手。完整握手仅执行一次。握手后,客户端将与服务器建立起 SSL/TLS 会话。关于后续连接,简短的握手将用于更快地恢复先前协商的会话。

可通过两种方式建立或恢复 TLS 连接:

  • SSL会话 ID – 此方法的前提是客户端和服务器在完全协商的连接终止后的一段时间内都保留着会话安全性参数。打算使用会话恢复的服务器将为该会话分配一个唯一的标识符,称为会话 ID。然后,服务器在 ServerHello 消息中将会话 ID 发送回客户端。要恢复先前的会话,客户端必须在其 ClientHello 消息中提交正确的会话 ID。如果服务器在其缓存中找到了相应的会话并接受了恢复会话的请求,则服务器将发送回相同的会话标识符,并继续进行简短的 SSL握手。否则,服务器将发出新的会话标识符并切换到完整握手。
  • SSL 会话票证 – 此方法不需要服务器端存储。服务器会收集所有会话数据,对其进行加密,然后以票证的形式将其发送回客户端。关于后续连接,客户端会将票证提交回服务器。然后,服务器将检查票证的完整性,解密内容,并使用其中的信息来恢复会话。如果服务器或客户端不支持此扩展,则可以使用 SSL 内置的会话标识符机制。

每种负载均衡器类型所支持的 SSL/TLS连接方法

  • Classic Load Balancers 支持基于会话 ID 的 SSL/TLS 会话恢复,但不支持基于会话票证的 SSL 会话恢复。SSL 会话缓存在节点级别受支持。如果客户端使用从节点 A 接收到的 SSL 会话 ID 来连接到节点 B,则 SSL 握手将恢复为完整握手。在此之后,节点 B 将生成一个新的 SSL 会话 ID。
  • Application Load Balancers 支持会话 ID 和基于会话票证的 SSL 会话恢复。会话 ID 和会话票据均在节点级别受支持。如果客户端使用从节点 A 接收到的 SSL 会话 ID 或会话票证来连接到节点 B,则 SSL 握手将恢复为完全握手。在此之后,节点 B 将生成新的 SSL 会话 ID 和会话票证。
  • 网络负载均衡器仅支持使用会话票证来恢复会话。在区域级别支持使用会话票证来恢复。客户端可以使用其任何 IP 地址与网络负载均衡器恢复 TLS 会话。

这篇文章对您是否有帮助?

我们可以改进什么?


需要更多帮助?