我们想要使用API网关,我们想要完美前向保密(https://en.wikipedia.org/wiki/Forward_secrecy)。
实现此目的的一种方法是限制通过HTTPS / TLS1.2连接时可用的密码与基于Diffie Hellman 的密码(即不允许RSA)。有没有办法限制API网关中的密码?
或者,有没有办法配置API网关,以便它不会终止HTTPS,而是将其转发给AWS负载均衡器(因为AWS负载均衡器确实支持限制密码套件)?
我的研究表明,API Gateway确实允许使用不支持Perfect Forward Secrecy的密码进行HTTPS连接。
谢谢!
答案 0 :(得分:5)
有没有办法限制API网关中的密码?
据我所知,没有。 API网关似乎由CloudFront支持,它也不允许TLS密码套件配置。
或者,有没有办法配置API网关,使其不会终止HTTPS,而是将其转发给AWS负载均衡器
不,它无法进行TCP直通。
我的研究表明API网关允许使用不支持完全向前保密的密码进行HTTPS连接
是。并非所有的浏览器/用户代理都支持临时密钥,并且API Gateway需要支持所有这些密钥(尽管随着旧的东西消失,该列表越来越小)。
使用支持ECDHE的密码套件将API网关配置为首选,因此如果浏览器/用户代理支持ECDHE,则很可能会使用它。
如果您绝对必须限制对提供FS的密码套件的支持,那么您将需要找到API网关以外的解决方案,或者在API网关前放置反向代理以确保使用FS,并找出一种限制API网关仅接受来自反向代理的连接的方法。
答案 1 :(得分:1)