Сертификат TLS/SSL, выданный AWS (управляемый) для ELB/ALB

#amazon-web-services #ssl #tls1.2 #amazon-elb #aws-application-load-balancer

Вопрос:

Когда я создаю ELB (т. Е. Балансировщик нагрузки приложений), Amazon присваивает ему DNS-имя, например:

myalb-1472119708.eu-central-1.elb.amazonaws.com

Теперь я хотел бы прекратить TLS/SSL на моем ALB, однако я не хочу прикреплять свой собственный сертификат (например, от менеджера сертификатов), я в порядке с доступом к моему приложению через DNS-имя по умолчанию (ALB) через HTTPS:

https://myalb-1472119708.eu-central-1.elb.amazonaws.com

Однако с настройкой по умолчанию я могу получить доступ к своему приложению только через HTTP:

http://myalb-1472119708.eu-central-1.elb.amazonaws.com

Поддерживает ли это AWS (риторический вопрос)? Есть ли планы добавить эту функцию в ближайшем будущем? Спасибо.

ОБНОВЛЕНИЕ: В конце концов, это несложная функция для реализации. Кроме того, SSL является фактическим стандартом для запуска (безопасных) веб-приложений сегодня. Я считаю, что AWS может выдавать сертификаты с подстановочными знаками для ELB в каждом регионе, например:

*.eu-central-1.elb.amazonaws.com

А затем по умолчанию прикрепите его к каждому альбому. Или опубликуйте список ARN сертификатов для каждого региона. Это освободило бы разработчиков от дополнительных усилий (покупка домена, регистрация сертификата в ACM) для их непроизводственных проектов.

1. Итак, вы хотите прекратить SSL? В чем собственно вопрос, так как вы говорите, что у вас все в порядке с доступом по HTTPS?

2. @ErmiyaEskandary когда HTTP сочетается с протоколом шифрования, таким как SSL/TLS, он называется HTTPS. Вопрос в том, что AWS предоставляет моему ALB только DNS-имя, например, я могу получить к нему доступ только по HTTP, когда я хотел бы получить к нему доступ по HTTPS.

3. Я осознаю, что да, это моя точная точка зрения. Вы хотите добавить SSL в домен ALB?

4. Ваш вопрос противоречит

5. Я думаю, что это так. 1) Добавление SSL установит «флажок» для большинства клиентов, которые требуют, чтобы их данные были «зашифрованы». 2) с подстановочными сертификатами не так приятно иметь дело, поэтому в некоторых местах AWS просто никогда не будет включать это 3) Chrome удалил импл без CA, но все еще зашифрованный (связанный с SRP), поэтому мы застряли с добавлением части «S» самостоятельно или используем более дорогие варианты развертывания AWS. И $$$, помимо (меньших) рисков и затрат, запуск завершения SSL также может быть некоторым мотивом для AWS.

Ответ №1:

На момент написания этой статьи единственный способ решить эту проблему-запустить ваш ALB/ELB за CloudFront, который (в отличие от ALB) по умолчанию предоставляет вам сертификат TLS:

 User -> CloudFront edge location (HTTPS) -> ALB (HTTP) -> Backend (HTTP)

Несмотря на то, что CloudFront несет дополнительные расходы, помимо возможности кэширования статического содержимого, CloudFront обеспечивает более быстрое завершение TLS, которое происходит в его периферийных местоположениях, тем самым уменьшая задержку при первых двух циклах обмена TLS (2 теоретически, но практически 3 в случае клиентов с низкой пропускной способностью).