Présentation des stratégies SSL

Les règles SSL vous permettent de contrôler les fonctionnalités SSL que votre équilibreur de charge proxy SSL Google Cloud ou votre équilibreur de charge HTTP(S) externe négocie avec les clients. Dans ce document, le terme SSL désigne à la fois les protocoles SSL et TLS.

Par défaut, l'équilibrage de charge HTTPS et l'équilibrage de charge proxy SSL utilisent un ensemble de fonctionnalités SSL offrant une bonne sécurité et une compatibilité étendue. Certaines applications requièrent davantage de contrôle sur les versions SSL et les algorithmes de chiffrement utilisés pour les connexions HTTPS ou SSL. Vous pouvez définir des règles SSL pour contrôler les fonctionnalités SSL que votre équilibreur de charge négocie avec les clients.

L'exemple suivant montre comment les connexions de clients sont établies et interrompues au niveau d'un équilibreur de charge.

Connexions de clients dans un équilibreur de charge HTTP(S) externe ou un équilibreur de charge proxy SSL (cliquez pour agrandir)
Connexions de clients dans un équilibreur de charge HTTP(S) externe ou un équilibreur de charge proxy SSL (cliquez pour agrandir)

Vous pouvez utiliser une règle SSL pour configurer la version TLS minimale et les fonctionnalités SSL activées dans l'équilibreur de charge. Les règles SSL affectent les connexions entre les clients et l'équilibreur de charge (connexion 1 dans l'illustration). Les règles SSL n'affectent pas les connexions entre l'équilibreur de charge et les backends (connexion 2).

Vous pouvez utiliser des règles SSL avec l'équilibrage de charge HTTP(S) et l'équilibrage de charge proxy SSL, mais pas avec l'équilibrage de charge HTTP(S) interne. Pour en savoir plus, consultez la section Fonctionnalités de l'équilibreur de charge : Sécurité.

Définir une règle SSL

Pour définir une règle SSL, vous devez spécifier une version TLS minimale et un profil. Le profil sélectionne un ensemble de fonctionnalités SSL à activer dans l'équilibreur de charge. Trois profils gérés par Google vous permettent de spécifier le niveau de compatibilité approprié pour votre application. Un quatrième profil personnalisé vous permet de sélectionner des fonctionnalités SSL individuellement.

Les trois profils préconfigurés sont les suivants :

  • COMPATIBLE. Autorise l'ensemble des clients, y compris ceux qui n'acceptent que les fonctionnalités SSL obsolètes, à effectuer des négociations SSL avec l'équilibreur de charge.
  • MODERNE. Accepte un large éventail de fonctionnalités SSL. Ce profil permet aux clients modernes d'effectuer des négociations SSL.
  • LIMITÉ. Accepte un ensemble réduit de fonctionnalités SSL. Ce profil est destiné à répondre à des exigences de conformité plus strictes.

La règle SSL spécifie également la version minimale du protocole TLS que les clients peuvent utiliser pour établir une connexion. Un profil peut également restreindre les versions de TLS que l'équilibreur de charge peut négocier. Par exemple, les algorithmes de chiffrements activés dans le profil LIMITÉ ne sont acceptés que par TLS 1.2. Le choix du profil LIMITÉ implique que les clients doivent nécessairement utiliser TLS 1.2, quelle que soit la version TLS minimale choisie.

Si vous ne choisissez pas l'un des trois profils préconfigurés ou si vous ne créez pas de règle SSL personnalisée, votre équilibreur de charge utilise la règle SSL par défaut. La règle SSL par défaut est équivalente à une règle SSL qui utilise le profil COMPATIBLE avec une version TLS minimale définie sur TLS 1.0.

Vous pouvez associer une règle SSL à plusieurs proxy. Vous ne pouvez pas configurer plus d'une règle SSL pour un proxy donné.

Les équilibreurs de charge du proxy SSL et les équilibreurs de charge HTTP(S) externes ne prennent pas en charge SSL version 3.0 ou antérieure. Le tableau suivant décrit la compatibilité des fonctionnalités pour chaque version TLS/SSL.

Version TLS/SSL Compatibilité des caractéristiques
TLS 1.0, 1.1 ou 1.2 Les paramètres dans les règles SSL contrôlent les suites de chiffrement appliquées aux connexions clientes.
TLS 1.3 Paramètres dans les règles SSL qui ne contrôlent pas la sélection des algorithmes de chiffrement TLS 1.3 n'est compatible qu'avec les algorithmes de chiffrement TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384 et TLS_CHACHA20_POLY1305_SHA256.
QUIC Paramètres dans les règles SSL qui ne contrôlent pas la sélection des algorithmes de chiffrement
SSL 3.0 ou version antérieure Non applicable. Non compatible avec Cloud Load Balancing.

Le tableau suivant répertorie les fonctionnalités de règle SSL disponibles pour chaque profil préconfiguré. Toutes les fonctionnalités déterminent si des suites de chiffrement spécifiques peuvent être utilisées et s'appliquent uniquement aux connexions de clients utilisant TLS version 1.2 ou antérieure, et non aux clients utilisant QUIC.

Fonctionnalité Profil COMPATIBLE Profil MODERNE Profil LIMITÉ
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Mises à jour de fonctionnalités

Nous nous réservons le droit de modifier le jeu de fonctionnalités activé dans les profils COMPATIBLE, MODERNE et LIMITÉ, ainsi que les fonctionnalités configurables dans un profil PERSONNALISÉ. Le cas peut se présenter lorsque nous supprimons la compatibilité avec d'anciennes fonctionnalités SSL ou lorsque nous en intégrons de nouvelles.

Lorsque nous ajoutons des fonctionnalités qui améliorent les capacités SSL, nous pouvons les activer immédiatement dans les profils COMPATIBLE, MODERNE et LIMITÉ, afin que les règles SSL qui sélectionnent ces profils puissent utiliser les nouvelles fonctionnalités. Toutefois, si votre règle sélectionne le profil PERSONNALISÉ, vous devez modifier les paramètres de stratégie pour utiliser les fonctionnalités ajoutées.

Lorsque nous supprimons la possibilité de contrôler une fonctionnalité (en l'activant de force ou en la désactivant de force pour toutes les stratégies), nous fournissons un préavis, sauf lorsque la suppression du contrôle est nécessaire pour des raisons de sécurité.

Mises en garde

La désactivation d'algorithmes de chiffrement ou de versions SSL spécifiques peut empêcher certains clients plus anciens de se connecter à votre proxy via HTTPS ou SSL. Si vous désactivez un trop grand nombre d'algorithmes de chiffrement dans le profil PERSONNALISÉ, cela peut avoir pour conséquence qu'aucun client ne sera en mesure d'effectuer des négociations HTTPS.

Un certificat SSL associé à votre équilibreur de charge utilise une signature numérique ECDSA ou RSA. Les profils prédéfinis sont compatibles avec ces deux types de signature de certificat. Un profil personnalisé doit autoriser les algorithmes de chiffrements compatibles avec la signature numérique utilisée par les certificats de votre équilibreur de charge.

Les fonctions qui contrôlent les suites de chiffrement ne concernent que les connexions clientes qui utilisent TLS version 1.2 ou une version antérieure. Elles ne contrôlent pas la sélection de chiffrement dans les connexions qui utilisent QUIC ou TLS 1.3.

Étape suivante