我们想要使用API网关,我们需要Perfect Forward Secrecy(https://en.wikipedia.org/wiki/Forward_secrecy).
实现此目的的一种方法是在通过HTTPS/TLS1.2连接时将密码限制为基于Diffie Hellman的密码(即不允许RSA).有没有办法限制API网关中的密码?
或者,有没有办法配置API网关,使其不会终止HTTPS,而是将其转发给AWS负载均衡器(因为AWS负载均衡器确实支持限制密码套件)?
我的研究表明,API Gateway确实允许使用不支持Perfect Forward Secrecy的密码进行HTTPS连接.
谢谢!
有没有办法限制API网关中的密码?
据我所知,没有.API网关似乎由CloudFront支持,它也不允许TLS密码套件配置.
或者,有没有办法配置API网关,使其不终止HTTPS,而是将其转发给AWS负载均衡器
不,它不能做TCP直通.
我的研究表明,API Gateway确实允许使用不支持Perfect Forward Secrecy的密码进行HTTPS连接
是.并非所有浏览器/用户代理都支持临时密钥,并且API Gateway需要支持所有这些密钥(尽管随着旧事物消失,该列表变得越来越小).
API网关配置为首选使用支持ECDHE的密码套件,因此如果浏览器/用户代理支持ECDHE,则很可能会使用它.
如果您绝对必须限制对提供FS的密码套件的支持,那么您将需要找到API网关以外的解决方案,或者在API网关前放置反向代理以确保使用FS,并找到一种方法将API网关限制为仅接受来自反向代理的连接.
京公网安备 11010802040832号 | 京ICP备19059560号-6 