Classic Load Balancer、Application Load Balancer、Network Load Balancer は SSL/TLS セッション再開をサポートしていますか?

解決方法

すべてのタイプのロードバランサーが SSL/TLS セッション再開をサポートしています。ただし、サポートしている接続方法はさまざまです。

SSL/TLS 接続方法

TLS ハンドシェイクには、完全ハンドシェイクと省略ハンドシェイクの 2 種類が存在します。完全ハンドシェイクは一度だけ実行されます。ハンドシェイクの後、クライアントはサーバーとの SSL/TLS セッションを確立します。以降の接続では、省略ハンドシェイクを使用して、以前にネゴシエートしたセッションをより迅速に再開することができます。

TLS 接続を確立または再開するには、次の 2 つの方法があります。

• SSL セッション ID — この方法は、完全にネゴシエートされた接続が終了した後も、クライアントとサーバーの両方がセッションセキュリティパラメータを一定期間保持することを基本としています。セッション再開を使用する予定のサーバーは、セッション ID と呼ばれる一意の識別子をセッションに割り当てます。次に、サーバーは ServerHello メッセージでセッション ID をクライアントに返します。以前のセッションを再開するには、クライアントは ClientHello メッセージで適切なセッション ID を送信する必要があります。サーバーがキャッシュで対応するセッションを見つけて要求を受け入れると、サーバーは同じセッション識別子を返します。その後、サーバーは省略された SSL ハンドシェイクを続行します。それ以外の場合、サーバーは新しいセッション識別子を発行し、完全ハンドシェイクに切り替えます。
• SSL セッションチケット — この方法では、サーバー側のストレージは必要ありません。サーバーはすべてのセッションデータを収集して暗号化し、チケットの形式でクライアントに返します。それ以降の接続では、クライアントはチケットをサーバーに送信します。次に、サーバーはチケットの整合性をチェックして内容を復号化し、その情報を使用してセッションを再開します。サーバーまたはクライアントがこの拡張をサポートしていない場合は、SSL に組み込まれているセッション識別子メカニズムに戻ってください。

各ロードバランサータイプでサポートされている SSL/TLS 接続方法

Classic Load Balancer

Classic Load Balancer はセッション ID ベースの SSL/TLS セッション再開をサポートしていますが、セッションチケットベースの SSL セッション再開はサポートしていません。SSL セッションキャッシュはノードレベルでサポートされています。たとえば、クライアントがノード A から受信した SSL セッション ID を使用してノード B に接続するとします。これが起こると、SSL ハンドシェイクは完全ハンドシェイクに戻ります。その後、新しい SSL セッション ID がノード B によって生成されます。

Application Load Balancer

Application Load Balancer は、セッション ID とセッションチケットベースの SSL セッション再開の両方をサポートします。セッション ID とセッションチケットの両方がノードレベルでサポートされます。たとえば、クライアントがノード A から受信した SSL セッション ID またはセッションチケットを使用してノード B に接続するとします。これが発生すると、SSL ハンドシェイクは完全ハンドシェイクに戻ります。その後、新しい SSL セッション ID とセッションチケットがノード B によって生成されます。

Network Load Balancer

Network Load Balancer は、セッション再開用のセッションチケットのみをサポートします。セッションチケットを使用した再開は、地域レベルでサポートされています。クライアントは、任意の IP アドレスを使用して Network Load Balancer との TLS セッションを再開することができます。