我正在使用一个工具进行安全检查,该工具将以下密码标记为弱密码。
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003C)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xC027)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xC028)
我使用的是最新的CloudFront安全策略,即TLSv1.2_2018,最小起源SSL协议设置为TLSv1.2。
但即使在这些设置下,仍然允许使用弱密码。
是否可以在CloudFront上禁用一些特定的密码?
AWS不允许客户为Amazon CloudFront选择单个密码。相反,它允许客户在不同的安全策略之间进行选择。可用的安全策略如下 在其文件中. 截至目前 TLSv1.2_2018 是他们提供的最新安全策略,也是他们推荐客户使用的策略。这个策略包含了你想要禁用的三个密码,所以目前没有办法在没有这些密码的情况下使用AWS CloudFront的TLS。
除了现在提供给客户的安全策略外,AWS已经定义了较新的安全策略,用于与Amazon CloudFront一起使用,在 s2n在他们的大部分面向公众的产品中,都使用了TLS实施方案。
研究 的源码 s2n 揭示了以下额外的安全政策及其支持的密码。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
最新的安全策略(TLSv1.2_2020)不包括你想要禁用的三个密码了,所以无论何时AWS决定将这个安全策略提供给客户,你都可以禁用相关的密码。