近期有客戶基於某些安全性考慮需要在web服務器上disableTLS1.0
因爲web部署在AWS上,前端掛在ELB上,只需修改ELB的偵聽器配置即可。
1.對於傳統型ELB(Classic Load Balancer ),在ELB配置頁面的偵聽器標籤頁下選擇變更密碼(Cipher),然後在選擇密碼頁面可以選擇符合需求的預定義安全策略,如果沒有合適的策略,也可以選擇自定義。
可選傳統ELB的預定義SSL安全策略列表:
最新的預定義安全策略 描述 :
這裏我們只保留TLSv1.2,選擇不包含TLSv1和TLSv1.1的ELBSecurityPolicy-TLS-1-2-2017-01:
2.對於應用型ELB(Application Load Balancer),在ELB配置頁面的偵聽器標籤頁下勾選有安全策略的偵聽器,點擊編輯,在後面的頁面中可以選擇符合需求的預定義安全策略,需要注意的是,Application Load Balancer 目前不支持自定義安全策略。
目前可選的預定義策略:
預定義的安全策略描述:
這裏我們只保留TLSv1.2,可以選擇ELBSecurityPolicy-TLS-1-2-Ext-2018-06。
修改後保存即可。
使用nmap掃描工具檢測結果:
nmap --script ssl-enum-ciphers -p 443 [Domain name]
參考文獻:
https://docs.aws.amazon.com/zh_cn/elasticloadbalancing/latest/classic/elb-security-policy-table.html
https://docs.aws.amazon.com/zh_cn/elasticloadbalancing/latest/application/create-https-listener.html