Concepts de règle SSL

Les règles SSL vous permettent de contrôler les fonctionnalités SSL que votre proxy SSL ou votre équilibreur de charge HTTPS négocie avec les clients. Dans ce document, le terme "SSL" fait référence aux protocoles SSL et TLS.

Par défaut, l'équilibrage de charge HTTPS et l'équilibrage de charge proxy SSL utilisent un ensemble de fonctionnalités SSL offrant une bonne sécurité et une compatibilité étendue. Certaines applications requièrent davantage de contrôle sur les versions SSL et les algorithmes de chiffrement utilisés pour les connexions HTTPS ou SSL. Vous pouvez définir des règles SSL pour contrôler les fonctionnalités SSL que votre équilibreur de charge négocie avec les clients.

L'exemple suivant montre comment les connexions entrantes provenant des clients sont établies et interrompues au niveau d'un équilibreur de charge HTTPS ou SSL Google Cloud Platform.

Connexions clientes dans un équilibreur de charge proxy HTTPS ou SSL (cliquez pour agrandir)
Connexions clientes dans un équilibreur de charge proxy HTTPS ou SSL (cliquez pour agrandir)

Vous pouvez utiliser une règle SSL pour configurer la version TLS minimale et les fonctionnalités SSL activées au niveau d'un équilibreur de charge proxy HTTPS ou SSL. Les règles SSL affectent les connexions entre les clients et l'équilibreur de charge proxy HTTPS ou SSL (connexion 1 dans l'illustration). Les règles SSL n'affectent pas les connexions entre l'équilibreur de charge et les backends (connexion 2).

Définir une règle SSL

Pour définir une règle SSL, vous devez spécifier une version TLS minimale et un profil. Le profil sélectionne un ensemble de fonctionnalités SSL à activer dans l'équilibreur de charge. Trois profils gérés par Google vous permettent de spécifier le niveau de compatibilité approprié pour votre application. Un quatrième profil (profil personnalisé) vous permet de sélectionner des fonctionnalités SSL individuellement.

Les trois profils préconfigurés sont les suivants :

  • COMPATIBLE : autorise l'ensemble des clients, y compris ceux qui n'acceptent que les fonctionnalités SSL obsolètes, à effectuer des négociations SSL avec l'équilibreur de charge.
  • MODERNE : accepte un large éventail de fonctionnalités SSL. Ce profil permet aux clients modernes d'effectuer des négociations SSL.
  • LIMITÉ : accepte un ensemble réduit de fonctionnalités SSL. Ce profil est destiné à répondre à des exigences de conformité plus strictes.

La règle SSL spécifie également la version minimale du protocole TLS que les clients peuvent utiliser pour établir une connexion. Un profil peut également restreindre les versions de TLS que l'équilibreur de charge peut négocier. Par exemple, les algorithmes de chiffrements activés dans le profil LIMITÉ ne sont acceptés que par TLS 1.2. Le choix du profil LIMITÉ implique que les clients doivent nécessairement utiliser TLS 1.2, quelle que soit la version TLS minimale choisie.

Si vous ne choisissez pas l'un des trois profils préconfigurés ou si vous ne créez pas de règle SSL personnalisée, votre équilibreur de charge utilise les règles SSL par défaut. Cela équivaut à une règle SSL qui utilise le profil COMPATIBLE avec une version TLS minimale définie sur TLS 1.0.

Vous pouvez associer une règle SSL à plusieurs proxy. Vous ne pouvez pas configurer plus d'une règle SSL pour un proxy donné.

Les équilibreurs de charge proxy HTTPS et SSL ne sont pas compatibles avec les versions 3.0 ou antérieures de SSL. Le tableau suivant décrit la compatibilité des fonctionnalités pour chaque version TLS/SSL.

Version TLS/SSL Compatibilité des fonctionnalités
TLS 1.0, 1.1 ou 1.2 Paramètres dans les règles SSL qui contrôlent les suites de chiffrement appliquées aux connexions clientes
QUIC Paramètres dans les règles SSL qui ne contrôlent pas la sélection des algorithmes de chiffrement
SSL 3.0 ou version antérieure Non applicable. Non compatible avec les équilibreurs de charge proxy HTTPS et SSL

Vérifiez que vous avez passé en revue les problèmes connus relatifs au comportement des équilibreurs de charge pour lesquels aucune règle SSL n'a été définie. Ces problèmes sont décrits sur la page Utiliser des règles SSL.

Le tableau suivant répertorie les fonctionnalités de règle SSL disponibles pour chaque profil préconfiguré. Toutes les fonctionnalités déterminent si des suites de chiffrement spécifiques peuvent être utilisées et s'appliquent uniquement aux connexions client utilisant TLS version 1.2 ou antérieure, et non aux clients QUIC.

Fonctionnalité Profil COMPATIBLE Profil MODERNE Profil LIMITÉ
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Mises à jour de fonctionnalités

De temps en temps, Google peut modifier le jeu de fonctionnalités activé dans les profils COMPATIBLE, MODERNE et LIMITÉ, ainsi que les fonctionnalités configurables dans un profil PERSONNALISÉ. Le cas peut se présenter lorsque nous supprimons la compatibilité avec d'anciennes fonctionnalités SSL ou lorsque nous en intégrons de nouvelles.

Lorsque nous ajoutons des fonctionnalités qui améliorent les capacités SSL, nous pouvons décider de les activer immédiatement dans les profils COMPATIBLE, MODERNE et LIMITÉ. Ainsi, les règles SSL qui sélectionnent ces profils bénéficient directement des nouvelles fonctionnalités. Notez toutefois que si votre règle sélectionne le profil PERSONNALISÉ, vous devez modifier les paramètres de la règle pour pouvoir utiliser les fonctionnalités ajoutées.

Nous vous avertissons systématiquement à l'avance lorsque nous décidons de supprimer la possibilité de contrôler une fonctionnalité (en l'activant d'office ou en la désactivant pour toutes les règles), comme nous le faisons avec d'autres fonctionnalités d'API, sauf lorsque la suppression du contrôle est nécessaire pour des raisons de sécurité.

Mises en garde

La désactivation d'algorithmes de chiffrement ou de versions SSL spécifiques peut empêcher certains clients, en particulier les plus anciens, de se connecter à votre proxy via HTTPS ou SSL. Si vous désactivez un trop grand nombre d'algorithmes de chiffrement dans le profil PERSONNALISÉ, cela peut avoir pour conséquence qu'aucun client ne sera en mesure d'effectuer des négociations HTTPS.

Un certificat SSL associé à votre équilibreur de charge utilise une signature numérique ECDSA ou RSA. Les profils prédéfinis sont compatibles avec ces deux types de signature de certificat. Un profil personnalisé doit autoriser les algorithmes de chiffrements compatibles avec la signature numérique utilisée par les certificats de votre équilibreur de charge.

Les fonctions qui contrôlent les suites de chiffrement ne concernent que les connexions clientes qui utilisent TLS version 1.2 ou une version antérieure. Elles ne contrôlent pas la sélection d'algorithmes de chiffrement pour les connexions utilisant QUIC.

Étapes suivantes

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…