Conceptos de política de SSL

Las políticas de SSL te permiten controlar las características de SSL que el proxy SSL o el balanceador de cargas HTTPS negocia con los clientes. En este documento, el término “SSL” hace referencia a los protocolos SSL y TLS.

De forma predeterminada, el balanceo de cargas proxy SSL y HTTPS usan un conjunto de características de SSL que proporcionan una buena seguridad y una amplia compatibilidad. Algunas aplicaciones requieren más control sobre los cifrados y las versiones de SSL que se usan para sus conexiones HTTPS o SSL. Puedes definir políticas de SSL para controlar las características de SSL que tu balanceador de cargas negocia con los clientes.

En el siguiente ejemplo, se muestra cómo se establecen y finalizan las conexiones de clientes en un balanceador de cargas HTTPS o SSL de Google Cloud Platform.

Conexiones de cliente en un balanceador de cargas de proxy SSL o HTTPS (haz clic para ampliar)
Conexiones de cliente en un balanceador de cargas de proxy SSL o HTTPS (haz clic para ampliar)

Puedes usar una política de SSL para configurar la versión mínima de TLS y las características de SSL habilitadas en un balanceador de cargas proxy SSL o HTTPS. Las políticas de SSL afectan las conexiones entre clientes y el balanceador de cargas proxy SSL o HTTPS (conexión 1 en la ilustración). Las políticas de SSL no afectan las conexiones entre el balanceador de cargas y los backends (conexión 2).

Define una política de SSL

Para definir una política de SSL, especifica una versión mínima de TLS y un perfil. El perfil selecciona un conjunto de características de SSL para habilitar en el balanceador de cargas. Tres perfiles que administra Google te permiten especificar el nivel de compatibilidad apropiado para tu aplicación. Un cuarto perfil personalizado te permite seleccionar características de SSL de forma individual.

Los tres perfiles preconfigurados son los siguientes:

  • COMPATIBLE: permite que el conjunto más amplio de clientes, incluidos aquellos que solo admiten características de SSL desactualizadas, negocien SSL con el balanceador de cargas.
  • MODERNO: admite un amplio conjunto de características de SSL, lo que permite que los clientes modernos negocien SSL.
  • RESTRINGIDO: admite un conjunto reducido de características de SSL con la intención de satisfacer requisitos de cumplimiento más estrictos.

La política de SSL también especifica la versión mínima del protocolo TLS que los clientes pueden usar para establecer una conexión. Un perfil también puede restringir las versiones de TLS que el balanceador de cargas puede negociar. Por ejemplo, los cifrados habilitados en el perfil RESTRINGIDO solo son compatibles con TLS 1.2. Elegir el perfil RESTRINGIDO requiere que los clientes usen TLS 1.2 sin importar la versión mínima elegida de TLS.

Si no eliges uno de los tres perfiles preconfigurados ni creas una política de SSL personalizada, el balanceador de cargas usa la política de SSL predeterminada. Esto es equivalente a una política de SSL que usa el perfil COMPATIBLE con una versión mínima de TLS de 1.0.

Puedes adjuntar una política de SSL a más de un proxy. No puedes configurar más de una política de SSL para un proxy particular.

Los balanceadores de cargas de proxy SSL y HTTPS no son compatibles con las versiones de SSL 3.0 o anteriores. En la siguiente tabla, se describe la compatibilidad de características para cada versión de TLS/SSL.

Versión de TLS/SSL Compatibilidad de características
TLS 1.0, 1.1 o 1.2 Configuración en las políticas de SSL que controla los conjuntos de cifrado aplicados a las conexiones del cliente.
QUIC Configuración en las políticas de SSL que no controla la selección de cifrado.
SSL 3.0 o versiones anteriores No aplicable. No es compatible con los balanceadores de cargas de proxy SSL y HTTPS.

Asegúrate de revisar la sección sobre problemas conocidos en la página acerca de cómo usar políticas de SSL con respecto al comportamiento de los balanceadores de cargas que no tienen un conjunto de políticas de SSL.

En la siguiente tabla, se detallan las características de políticas de SSL disponibles para cada perfil preconfigurado. Todas las características controlan si se pueden usar conjuntos de cifrados particulares y se aplican solo a las conexiones de clientes que usan la versión 1.2 de TLS o anterior, no a clientes que usan QUIC.

Característica En el perfil COMPATIBLE En perfil MODERNO En perfil RESTRINGIDO
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Actualizaciones de características

De vez en cuando, Google puede actualizar el conjunto de características habilitadas en los perfiles COMPATIBLE, MODERNO y RESTRINGIDO, así como qué funciones son configurables en el perfil PERSONALIZADO. Google lo hará a medida que quitemos la asistencia para capacidades de SSL anteriores y agreguemos asistencia para las más nuevas.

Cuando Google agrega características que mejoran las capacidades de SSL, podemos optar por habilitarlas de inmediato en los perfiles COMPATIBLE, MODERNO y RESTRINGIDO para que las políticas de SSL que seleccionen esos perfiles aprovechen las nuevas características. Sin embargo, si tu política selecciona el perfil PERSONALIZADO, debes modificar la configuración de la política para poder usar las características agregadas.

Te avisaremos con anticipación cuando quitemos la capacidad de controlar una característica (ya sea si se la activa o desactiva a la fuerza en todas las políticas), tal como lo hacemos con otras características de API, excepto cuando es necesario quitar el control por motivos de seguridad.

Advertencias

Si inhabilitas determinadas versiones o cifrados de SSL, es posible que algunos clientes, en especial los más antiguos, no puedan conectarse a tu proxy mediante HTTPS o SSL. Si inhabilitas una selección bastante amplia de cifrados en el perfil PERSONALIZADO, es posible que ningún cliente pueda negociar HTTPS.

Un certificado SSL asociado con tu balanceador de cargas usa una firma digital ECDSA o RSA. Los perfiles predefinidos son compatibles con ambos tipos de firmas de certificados. Un perfil personalizado debe habilitar cifrados que sean compatibles con la firma digital que usan los certificados de tu balanceador de cargas.

Las características que controlan los conjuntos de cifrado solo se aplican a las conexiones de clientes que usan TLS 1.2 y versiones anteriores. No controlan la selección de cifrado en conexiones que usan QUIC.

Próximos pasos

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...