是否可以禁用云锋网的一些特定密码？

Posted 2023-01-23

我正在使用一个工具进行安全检查，该工具将以下密码标记为弱密码。

TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003C)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xC027)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xC028)

我使用的是最新的CloudFront安全策略，即TLSv1.2_2018，最小起源SSL协议设置为TLSv1.2。

但即使在这些设置下，仍然允许使用弱密码。

是否可以在CloudFront上禁用一些特定的密码？

答案

AWS不允许客户为Amazon CloudFront选择单个密码。相反，它允许客户在不同的安全策略之间进行选择。可用的安全策略如下 在其文件中. 截至目前 TLSv1.2_2018 是他们提供的最新安全策略，也是他们推荐客户使用的策略。这个策略包含了你想要禁用的三个密码，所以目前没有办法在没有这些密码的情况下使用AWS CloudFront的TLS。

除了现在提供给客户的安全策略外，AWS已经定义了较新的安全策略，用于与Amazon CloudFront一起使用，在 s2n在他们的大部分面向公众的产品中，都使用了TLS实施方案。

研究 的源码 s2n 揭示了以下额外的安全政策及其支持的密码。

TLSv1.2_2019:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLSv1.2_2020:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

最新的安全策略(TLSv1.2_2020)不包括你想要禁用的三个密码了，所以无论何时AWS决定将这个安全策略提供给客户，你都可以禁用相关的密码。