Comment configurer les écouteurs TLS/SSL de mon Application Load Balancer pour qu'ils utilisent les chiffres ECDSA ?

Dernière mise à jour : 11/03/2022

La politique de sécurité de mon Application Load Balancer répertorie les chiffres RSA et ECDSA. Mais lorsque je me connecte à mon Load Balancer, je vois toujours les chiffres RSA sélectionnés. Comment faire pour que mon Load Balancer utilise les chiffres ECDSA pour le chiffrement TLS ?

Brève description

Un écouteur HTTPS d'Application Load Balancer peut être configuré avec plusieurs certificats, mais ne nécessite qu'une seule politique de sécurité. Chaque politique de sécurité contient des chiffres pour les algorithmes cryptographiques RSA et ECDSA. Au cours de l'établissement de la liaison TLS, Application Load Balancer utilise la logique du processus de sélection pour déterminer le certificat de l'Application Load Balancer à utiliser pour la connexion HTTPS. Si le certificat choisi est créé à l'aide de clés RSA ou ECDSA (courbe elliptique), Application Load Balancer utilisera les chiffres RSA ou ECDSA pour le chiffrement.

Remarque : les certificats publics qui sont générés par AWS Certificate Manager (ACM) utilisent des clés RSA. Par conséquent, le chiffrement avec un Application Load Balancer utilisant des certificats ACM doit utiliser des chiffres RSA. Vous devez importer des certificats signés ECDSA dans ACM et les associer à votre écouteur HTTPS afin de tirer parti des chiffres ECDSA pour le chiffrement.

Solution

Pour utiliser les chiffres ECDSA avec votre Application Load Balancer, effectuez les étapes suivantes :

Importez le ou les nouveaux certificats ECDSA dans AWS Certificate Manager et associez-les à l'écouteur HTTPS

Après avoir travaillé avec votre CA (autorité de certification) pour obtenir des certificats ECDSA pour votre domaine au format PEM, effectuez les étapes suivantes :

1.    Importez votre nouveau certificat ECDSA dans AWS Certificate Manager.

2.    Associez votre certificat ECDSA récemment importé à votre Application Load Balancer.

(Facultatif) Testez l'écouteur TLS de votre équilibreur de charge pour les chiffres pris en charge

Pour tester les protocoles et les chiffres qui seront utilisés, utilisez un outil de ligne de commande open source, tel que sslscan.

Remarque : l'utilisation de sslscan vous permet d'obtenir des informations complètes sur tous les chiffres sans utiliser un utilitaire tiers supplémentaire. Par exemple, si vous utilisez cURL, vous devez spécifier les suites de chiffres individuelles, ce qui nécessite des requêtes cURL distinctes spécifiant les protocoles TLS et les suites de chiffres.

Vous pouvez installer et exécuter la commande sslscan sur n'importe quelle instance Linux Amazon Elastic Compute Cloud (Amazon EC2) ou à partir de votre système local. Assurez-vous que le Load Balancer que vous souhaitez tester accepte les connexions TLS à partir de votre adresse IP source.

Pour utiliser sslscan sur une instance Amazon Linux EC2, effectuez les étapes suivantes :

1.    Activez le référentiel Extra Packages for Enterprise Linux (EPEL).

2.    Installez sslscan sur votre instance Amazon EC2 Linux à l'aide de la commande suivante :

sudo yum install sslscan

3.    Utilisez la syntaxe de commande suivante pour analyser votre Application Load Balancer pour les chiffres pris en charge, en remplaçant « exemple.com » par votre nom de domaine :

[ec2-user@ ~]$ sslscan --show-ciphers example.com | grep Accepted

Voici un exemple de sortie qui montre les résultats de l'exécution d'une analyse de vulnérabilité sur votre Application Load Balancer en utilisant un certificat ECDSA P-256 et la politique de sécurité par défaut :

    Accepted  TLSv1  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-ECDSA-AES128-SHA
    Accepted  TLS11  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLS11  128 bits  ECDHE-ECDSA-AES128-SHA
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-GCM-SHA384
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-SHA384
    Accepted  TLS12  256 bits  ECDHE-ECDSA-AES256-SHA
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-GCM-SHA256
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-SHA256
    Accepted  TLS12  128 bits  ECDHE-ECDSA-AES128-SHA

Pour comparer, voici l'exemple de sortie d'une analyse de vulnérabilité sur votre Load Balancer utilisant un certificat RSA 2048 et la politique de sécurité par défaut :

    Accepted  TLSv1  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLS11  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLS11  256 bits  AES256-SHA
    Accepted  TLS11  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLS11  128 bits  AES128-SHA
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-GCM-SHA384
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-SHA384
    Accepted  TLS12  256 bits  ECDHE-RSA-AES256-SHA
    Accepted  TLS12  256 bits  AES256-GCM-SHA384
    Accepted  TLS12  256 bits  AES256-SHA256
    Accepted  TLS12  256 bits  AES256-SHA
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-GCM-SHA256
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-SHA256
    Accepted  TLS12  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLS12  128 bits  AES128-GCM-SHA256
    Accepted  TLS12  128 bits  AES128-SHA256
    Accepted  TLS12  128 bits  AES128-SHA

Si vous avez correctement configuré vos certificats ECDSA sur Application Load Balancer, votre sortie affiche les suites de chiffres négociées <ECDHE-ECDSA-*>. Si votre sortie affiche d'autres suites de chiffres, révisez et mettez à jour votre politique de sécurité Application Load Balancer.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?