在AWS API Gateway中,如何将HTTPS密码限制为提供完全向前保密的密码?

时间:2017-01-25 17:58:18

标签: amazon-web-services ssl encryption aws-api-gateway

我们想要使用API​​网关,我们想要完美前向保密(https://en.wikipedia.org/wiki/Forward_secrecy)。

实现此目的的一种方法是限制通过HTTPS / TLS1.2连接时可用的密码与基于Diffie Hellman 的密码(即不允许RSA)。有没有办法限制API网关中的密码?

或者,有没有办法配置API网关,以便它不会终止HTTPS,而是将其转发给AWS负载均衡器(因为AWS负载均衡器确实支持限制密码套件)?

我的研究表明,API Gateway确实允许使用不支持Perfect Forward Secrecy的密码进行HTTPS连接。

谢谢!

2 个答案:

答案 0 :(得分:5)

  

有没有办法限制API网关中的密码?

据我所知,没有。 API网关似乎由CloudFront支持,它也不允许TLS密码套件配置。

  

或者,有没有办法配置API网关,使其不会终止HTTPS,而是将其转发给AWS负载均衡器

不,它无法进行TCP直通。

  

我的研究表明API网关允许使用不支持完全向前保密的密码进行HTTPS连接

是。并非所有的浏览器/用户代理都支持临时密钥,并且API Gateway需要支持所有这些密钥(尽管随着旧的东西消失,该列表越来越小)。

使用支持ECDHE的密码套件将API网关配置为首选,因此如果浏览器/用户代理支持ECDHE,则很可能会使用它。

如果您绝对必须限制对提供FS的密码套件的支持,那么您将需要找到API网关以外的解决方案,或者在API网关前放置反向代理以确保使用FS,并找出一种限制API网关仅接受来自反向代理的连接的方法。

答案 1 :(得分:1)