跟进AWS API Gateway should prevent use of TLS v1,我使用以下配置
创建了Cloudfront发布
Origin Domain Name as my Gate API endpoint https://abcdfefg.execute-api.us-east-1.amazonaws.com Viewer Protocol Policy as HTTPS Only Origin SSL Protocols as TLSv1.2, TLSv1.1 (Unchecked TLSv1) other defaults
部署分发后,当我使用自定义域访问我的Gateway API时,我仍然可以在TLSv1上进行调用。
如何将自定义域映射到此新的云端分发以强制执行TLS设置?
更新-1: 在我使用自定义域调用Gateway API的java测试程序中,我启用了运行时参数
-Dhttps.protocols=TLSv1 -Djavax.net.debug=all
javax.net.debug的输出确认了TLSv1 Exchange。
*** ClientHello, TLSv1 .... many lines output *** ServerHello, TLSv1 .. Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
使用curl确认TLS v1的使用情况。 卷曲输出包括:
* SSL connection using TLSv1.0 / ECDHE-RSA-AES128-SHA
答案 0 :(得分:0)
为了使具有额外云端分发的Gateway API能够正常工作,我们需要
完成上述更改后,访问https上的自定义域名将强制执行 Cloudfront 分发中定义的TLS安全设置。