【问题标题】:In AWS API Gateway, how to restrict HTTPS ciphers to those that provide Perfect Forward Secrecy?在 AWS API Gateway 中,如何将 HTTPS 密码限制为提供完美前向保密的密码?
【发布时间】:2017-06-11 00:53:26
【问题描述】:

我们想要使用 API 网关并且我们想要完美的前向保密 (https://en.wikipedia.org/wiki/Forward_secrecy)。

实现此目的的一种方法是将通过 HTTPS/TLS1.2 连接时可用的密码限制为基于 Diffie Hellman 的密码(即不允许 RSA)。有没有办法限制 API 网关中的密码?

或者,有没有办法配置 API 网关,使其不终止 HTTPS,而是将其转发到 AWS 负载均衡器(因为 AWS 负载均衡器确实支持限制密码套件)?

我的研究表明 API Gateway 确实允许使用不支持完美前向保密的密码进行 HTTPS 连接。

谢谢!

【问题讨论】:

    标签: amazon-web-services ssl encryption aws-api-gateway


    【解决方案1】:

    有没有办法限制 API 网关中的密码?

    据我所知,没有。 API Gateway 似乎由 CloudFront 提供支持,它也不允许 TLS 密码套件配置。

    或者,有没有一种方法可以配置 API 网关,使其不会终止 HTTPS,而是将其转发到 AWS 负载均衡器

    不,它不能做 TCP 透传。

    我的研究表明 API Gateway 确实允许使用不支持完美前向保密的密码的 HTTPS 连接

    是的。并非所有浏览器/用户代理都支持临时密钥,API Gateway 需要支持所有这些(尽管随着旧东西的消失,这个列表越来越小)。

    API 网关被配置为首选使用支持 ECDHE 的密码套件,因此如果浏览器/用户代理支持 ECDHE,则很可能会使用它。

    如果您绝对必须限制对提供 FS 的密码套件的支持,那么您将需要找到 API Gateway 以外的解决方案,或者在 API Gateway 前面放置一个反向代理以确保使用 FS,然后弄清楚一种将 API 网关限制为仅接受来自反向代理的连接的方法。

    【讨论】:

    • 在最近的新闻中,您现在似乎也可以,在一定程度上:aws.amazon.com/about-aws/whats-new/2017/09/…
    • @willFarrell 这仅适用于 CF,即使 API Gateway 有 CF 支持,您也无法真正做到这一点。此外,即使您可以选择安全策略,CF 仍将支持那些没有 PFS 的密码。
    【解决方案2】:

    【讨论】:

    • 请注意,即使您可以更改安全策略,也无法更改 AWS 设置的默认密码。您的端点似乎仍支持非 PFS 密码。
    猜你喜欢
    • 2019-05-27
    • 1970-01-01
    • 1970-01-01
    • 2020-11-30
    • 2012-08-19
    • 2016-01-10
    • 2019-02-20
    • 2011-06-18
    相关资源
    最近更新 更多