Conceitos de política de SSL

Com as políticas de SSL, é possível controlar os recursos de SSL que o proxy SSL ou balanceador de carga HTTPS negocia com os clientes. Neste documento, o termo "SSL" se refere aos protocolos SSL e TLS.

Por padrão, o balanceamento de carga HTTPS e de proxy SSL usam um conjunto de recursos SSL que oferece boa segurança e ampla compatibilidade. Alguns aplicativos exigem mais controle sobre quais criptografias e versões SSL são usadas para as conexões HTTPS ou SSL. Defina políticas de SSL para controlar os recursos de SSL que o balanceador de carga negocia com os clientes.

O exemplo a seguir mostra como as conexões dos clientes são estabelecidas e encerradas em um balanceador de carga HTTPS ou SSL do Google Cloud Platform.

Conexões de clientes em um balanceador de carga de proxy SSL ou HTTPS (clique para ampliar)
Conexões de clientes em um balanceador de carga HTTPS ou de proxy SSL (clique para ampliar)

Você pode usar uma política de SSL para configurar a versão de TLS mínima e os recursos SSL ativos em um balanceador de carga HTTPS ou de proxy SSL. As políticas de SSL afetam as conexões entre clientes e o balanceador de carga HTTPS ou de proxy SSL (conexão 1 na ilustração). As políticas de SSL não afetam as conexões entre o balanceador de carga e os back-ends (conexão 2).

Definir uma política de SSL

Para definir uma política de SSL, é preciso especificar uma versão de TLS mínima e um perfil. O perfil seleciona um conjunto de recursos SSL a serem ativados no balanceador de carga. Três perfis gerenciados pelo Google permitem que você especifique o nível de compatibilidade apropriado para seu aplicativo. Um quarto perfil personalizado permite selecionar recursos SSL individualmente.

Os três perfis pré-configurados são os seguintes:

  • COMPATÍVEL: permite o conjunto mais amplo de clientes, inclusive aqueles que aceitam apenas recursos SSL desatualizados, para negociar SSL com o balanceador de carga.
  • MODERNO: compatível com um amplo conjunto de recursos SSL, permitindo que clientes modernos negociem SSL.
  • RESTRITO: compatível com um conjunto reduzido de recursos SSL, destinados a cumprir requisitos de conformidade mais rigorosos.

A política de SSL também especifica a versão mínima do protocolo TLS que os clientes podem usar para estabelecer uma conexão. Um perfil também pode restringir as versões de TLS que o balanceador de carga pode negociar. Por exemplo, as configurações ativas no perfil RESTRITO só são compatíveis com o TLS 1.2. Escolher o perfil RESTRITO efetivamente exige que os clientes usem o TLS 1.2, independentemente da versão de TLS mínima escolhida.

Se você não escolher um dos três perfis pré-configurados ou criar uma política de SSL personalizada, seu balanceador de carga usará a política de SSL padrão. Isso é equivalente a uma política de SSL que usa o perfil COMPATÍVEL com uma versão de TLS mínima de 1.0.

Você pode anexar uma política de SSL a mais de um proxy. Não é possível configurar mais de uma política de SSL para um determinado proxy.

Os balanceadores de carga de proxy SSL e HTTPS não são compatíveis com as versões SSL 3.0 ou anteriores. A tabela a seguir descreve o suporte aos recursos em cada versão de TLS/SSL.

Versão de TLS/SSL Suporte a recursos
TLS 1.0, 1.1 ou 1.2 As configurações nas políticas de SSL que controlam conjuntos de criptografia se aplicam às conexões de cliente.
QUIC As configurações nas políticas de SSL não controlam a seleção de criptografia.
SSL 3.0 ou anterior Não aplicável. Não é compatível com os balanceadores de carga de proxy SSL e HTTPS.

Verifique os Problemas conhecidos em Como usar políticas de SSL com relação ao comportamento dos balanceadores de carga que não têm nenhum conjunto de políticas de SSL.

A tabela a seguir lista os recursos de política de SSL disponíveis para cada perfil pré-configurado. Todos os recursos controlam se conjuntos de criptografia específicos podem ser usados. Eles se aplicam somente às conexões de clientes que usam o TLS versão 1.2 ou anterior, e não aos clientes que usam o QUIC.

Recurso No perfil COMPATÍVEL No perfil MODERNO No perfil RESTRITO
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Atualizações de recursos

De vez em quando, o Google pode atualizar o conjunto de recursos habilitados nos perfis COMPATÍVEL, MODERNO e RESTRITO, bem como quais recursos são configuráveis ​​em um perfil PERSONALIZADO. O Google fará isso à medida que deixarmos de oferecer suporte para recursos SSL mais antigos e adicionarmos suporte aos mais novos.

Quando o Google adiciona recursos que melhoram os recursos SSL, podemos optar por ativá-los imediatamente nos perfis COMPATÍVEL, MODERNO e RESTRITO. Assim, as políticas de SSL que selecionarem esses perfis aproveitarão os novos recursos. Se sua política selecionar o perfil PERSONALIZADO, no entanto, você precisará modificar as configurações da política para usar recursos adicionais.

Avisaremos com antecedência quando removermos a capacidade de controlar um recurso (aplicando-o ou removendo-o de todas as políticas), assim como fazemos com outros recursos da API, exceto quando a remoção do controle for necessária por motivos de segurança.

Advertências

A desativação de versões ou criptografias específicas de SSL pode impedir que alguns clientes, especialmente os mais antigos, se conectem ao seu proxy com HTTPS ou SSL. Desativar uma seleção suficientemente ampla de criptografias no perfil PERSONALIZADO pode impedir todos os clientes de negociar o HTTPS.

Um certificado SSL associado ao seu balanceador de carga usa uma assinatura digital ECDSA ou RSA. Os perfis predefinidos são compatíveis com ambos os tipos de assinaturas de certificados. Um perfil personalizado precisa permitir criptografias compatíveis com a assinatura digital usada pelos certificados do balanceador de carga.

Os recursos que controlam os conjuntos de criptografia aplicam-se apenas às conexões de clientes que utilizam o TLS versão 1.2 e anteriores. Eles não controlam a seleção de criptografia nas conexões que usam o QUIC.

Próximas etapas

  • Para informações sobre como configurar políticas de SSL, consulte Como usar políticas de SSL.
  • Para informações sobre balanceamento de carga de proxy SSL, consulte esta página.
  • Para informações sobre balanceamento de carga HTTP(S), consulte esta página.
Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…