Pourquoi une erreur de négociation SSL/TLS client est-elle émise lorsque j'essaie de me connecter à mon équilibreur de charge?

Date de la dernière mise à jour : 31/01/2020

Je reçois une erreur de négociation Secure Sockets Layer (SSL)/Transport Layer Security (TLS) lorsque j'essaie de me connecter à mon équilibreur de charge. Quelle est l'origine de l'erreur ?

Brève description

Une erreur de négociation TLS client fait référence à une connexion TLS initiée par le client qui n'a pas pu établir une session avec l'équilibreur de charge. Des erreurs de négociation TLS se produisent lorsque les clients essaient de se connecter à un équilibreur de charge à l'aide d'un protocole ou d'un chiffrement que la politique de sécurité de l'équilibreur de charge ne prend pas en charge. Pour établir une connexion TLS, assurez-vous que votre client prend en charge :

  • un ou plusieurs chiffrements correspondants,
  • un protocole spécifié dans la stratégie de sécurité.

Solution

Identifier la politique de sécurité de votre équilibreur de charge

Dans AWS Management Console :

1.    Ouvrez la console Amazon Elastic Compute Cloud (Amazon EC2).

2.    Dans le volet de navigation, sous LOAD BALANCING (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).

3.    Sélectionnez l'équilibreur de charge, puis l'onglet Listeners (Écouteurs).

4.    Affichez la politique de sécurité.
       Pour Application Load Balancers (Équilibreurs de charge d'application) et Network Load Balancers, recherchez la politique de sécurité dans la colonne Security policy (Politique de sécurité).
       Pour Classic Load Balancers, choisissez Change (Changer) dans la colonne Cipher (Chiffrement) pour afficher la politique de sécurité.

Depuis l'interface de ligne de commande AWS (AWS CLI) :

  • Pour Application Load Balancers (Équilibreurs de charge d'application) et Network Load Balancers, exécutez la commande describe-listeners.
  • Pour les Classic Load Balancers, exécutez la commande describe-load-balancers.

Déterminer les protocoles et chiffrements pris en charge par la politique de sécurité de votre équilibreur de charge

Les Classic Load Balancers prennent en charge les politiques de sécurité personnalisées. Toutefois, les équilibreurs de charge d'application et les Network Load Balancers ne prennent pas en charge les politiques de sécurité personnalisées actuellement. Pour plus d'informations sur les politiques de sécurité, y compris la politique de sécurité par défaut, consultez :

(Facultatif) Tester la politique de sécurité de l'équilibreur de charge

Pour tester les protocoles et les chiffrements pris en charge par la politique de sécurité de l'équilibreur de charge, vous pouvez utiliser un outil de ligne de commande open source tel que sslscan.

Vous pouvez installer et exécuter la commande sslscan sur n'importe quelle instance Linux Amazon EC2 ou à partir de votre système local. Assurez-vous que l'équilibreur de charge à tester accepte les connexions TLS à partir de votre adresse IP source. Pour utiliser sslscan sur une instance EC2 Amazon Linux :

1.    Activez le référentiel Extra Packages for Enterprise Linux (EPEL).

2.    Exécutez la commande sudo yum install sslscan.

3.    Exécutez la commande suivante pour rechercher les chiffrements pris en charge dans votre équilibreur de charge. Veillez à remplacer exemple.compar votre nom de domaine.

[ec2-user@ ~]$ sslscan --show-ciphers example.com

Mettre à jour la politique de sécurité de l'équilibreur de charge, si nécessaire

Si vous devez mettre à jour la politique de sécurité de l'équilibreur de charge pour utiliser les protocoles ou chiffrements pris en charge et atteindre le niveau de sécurité souhaité, vous pouvez :


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?