Como usar políticas de SSL

As políticas de SSL oferecem a capacidade de controlar os recursos de SSL que seu proxy SSL ou balanceador de carga HTTPS negocia. Neste documento, o termo "SSL" refere-se aos protocolos SSL e TLS.

Para mais informações sobre como as políticas de SSL funcionam, consulte Conceitos de política SSL.

Como trabalhar com políticas de SSL

É possível ativar políticas de SSL usando a ferramenta de linha de comando gcloud ao criar um balanceador de carga HTTPS ou SSL ou a qualquer momento após a criação do balanceador de carga.

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Como criar políticas de SSL

É possível criar políticas SSL usando o Console ou a ferramenta de linha de comando gcloud ao criar um balanceador de carga HTTPS ou SSL ou a qualquer momento após a criação do balanceador de carga.

É possível criar políticas de SSL com perfis gerenciados pelo Google ou com um perfil personalizado.

Sintaxe com a ferramenta de linha de comando gcloud

A ferramenta de linha de comando gcloud usa a seguinte sintaxe para criar políticas de SSL:

gcloud compute ssl-policies create NAME \
    --profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Como criar uma política de SSL com um perfil gerenciado pelo Google

Console


Para criar uma política de SSL com um perfil gerenciado pelo Google, siga estas instruções:

  1. Acesse a página "Políticas de SSL" no Console do Google Cloud Platform.
    Acessar a página "Políticas de SSL"
  2. Clique em Criar política. Aparecerá a página Criar política.
  3. Digite um Nome.
  4. Selecione uma Versão mínima do TLS.
  5. Em Perfil, selecione Compatível, Moderno ou Restrito. Os Recursos ativados e Recursos desativados do perfil são exibidos no lado direito da página.
  6. Se houver um balanceador de carga ao qual você quer anexar a política, clique em Adicionar destino e selecione uma regra de encaminhamento como destino da política de SSL. Se quiser, adicione mais destinos.
  7. Clique em Criar.

gcloud


A sintaxe geral é esta:

gcloud compute ssl-policies create [SSL_POLICY] \
    --profile [COMPATIBLE|MODERN|RESTRICTED]   \
    --min-tls-version 1.0|1.1|1.2

O seguinte comando cria uma política de SSL com o perfil MODERNO:

gcloud compute ssl-policies create my_ssl_policy \
    --profile MODERN    \
    --min-tls-version 1.0

Você verá o seguinte:

Created                             [https://www.googleapis.com/compute/v1/projects/project/global/sslpolicies/policy_name].
PROFILE       MIN_TLS_VERSION
MODERN        TLS_1_0

ENABLED FEATURES:
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Como criar uma política de SSL com um perfil personalizado

Console


Para criar uma política de SSL com um perfil personalizado, siga estas instruções:

  1. Acesse a página "Políticas de SSL" no Console do Google Cloud Platform.
    Acessar a página "Políticas de SSL"
  2. Clique em Criar política. Aparecerá a página Criar política.
  3. Digite um Nome.
  4. Selecione uma Versão mínima do TLS.
  5. Em Perfil, selecione Personalizado. Todos os recursos são mostrados como Recursos desativados no lado direito da página.
  6. Na lista de Recursos, selecione cada conjunto de criptografia que você quer ativar. Os conjuntos de criptografia ativados são mostrados como Recursos ativados.
  7. Se houver um balanceador de carga ao qual você quer anexar a política, clique em Adicionar destino e selecione uma regra de encaminhamento como destino da política de SSL. Se quiser, adicione mais destinos.
  8. Clique em Criar.

gcloud


O código a seguir cria uma política de SSL com o perfil CUSTOM com versão mínima de TLS 1.2 e os recursos TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 e TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

Quando você cria uma política de SSL com o perfil CUSTOM, somente os recursos especificados no comando create são aceitos. Outros recursos não são aceitos.

gcloud compute ssl-policies create my_custom_ssl_policy \
    --profile CUSTOM --min-tls-version 1.2 \
    --custom-features "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,"\
    "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"

Como listar recursos da política de SSL

É possível listar todos os recursos de política de SSL usando o Console ou a ferramenta de linha de comando gcloud.

Console


  1. Acesse a página "Políticas de SSL" no Console do Google Cloud Platform.
    Acessar a página "Políticas de SSL"
  2. Clique no nome da política que contém os recursos que você quer ver. Os conjuntos de criptografia ativados e desativados são listados no lado direito da página.

gcloud


Para listar os recursos disponíveis nas políticas de SSL:

gcloud compute ssl-policies list-available-features

Como modificar políticas de SSL

É possível editar políticas de SSL usando o Console ou a ferramenta de linha de comando gcloud.

Console


  1. Acesse a página "Políticas de SSL" no Console do Google Cloud Platform.
    Acessar a página "Políticas de SSL"
  2. Clique no nome da política que você quer modificar.
  3. Clique em Editar.
  4. Faça as alterações que quiser.
  5. Clique em Salvar.

gcloud


Para modificar uma política de SSL, passe qualquer uma ou todas as sinalizações correspondentes aos campos que você quer atualizar. Os campos não especificados não são atualizados.

Se você atualizar os recursos, os que estavam ativados antes serão excluídos e substituídos pelos novos recursos especificados.

gcloud compute ssl-policies update NAME \
    [--profile COMPATIBLE|MODERN|RESTRICTED|CUSTOM] \
    [--min-tls-version 1.0|1.1|1.2] \
    [--custom-features FEATURES]

Como criar um proxy SSL ou HTTPS de destino com uma política de SSL

É possível criar um proxy SSL de destino com uma política de SSL:

gcloud compute target-ssl-proxies create NAME \
    --backend-service BACKEND_SERVICE_NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    [--ssl-policy SSL_POLICY_NAME]

É possível criar um proxy HTTPS de destino com uma política de SSL:

gcloud compute target-https-proxies create NAME \
    --ssl-certificate SSL_CERTIFICATE_NAME \
    --url-map URL_MAP_NAME \
    [--ssl-policy SSL_POLICY_NAME]

Como anexar uma política de SSL a um proxy HTTPS ou SSL de destino

Use o Console ou a ferramenta de linha de comando gcloud para anexar uma política de SSL a um proxy SSL de destino ou um proxy HTTPS.

Console


  1. Acesse a página Balanceamento de carga no Console do Google Cloud Platform.
    Acessar a página "Balanceamento de carga"
  2. Clique no nome do balanceador de carga HTTPS ou SSL que você quer modificar.
  3. Clique em Editar.
  4. Clique em Configuração do front-end.
  5. Clique no front-end em que você quer atribuir uma política de SSL nova ou diferente.
  6. Em Política de SSL, selecione a política a ser atualizada.
  7. Selecione uma política de SSL diferente.
  8. Clique em Concluir.
  9. Clique em Atualizar. A página Detalhes do balanceador de carga é exibida.

gcloud


Use estes comandos para anexar uma política de SSL a um proxy SSL ou balanceador de carga HTTPS:

gcloud compute target-ssl-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME
gcloud compute target-https-proxies update NAME \
    --ssl-policy SSL_POLICY_NAME

Se você não fornecer a sinalização --ssl-policy ou --clear-ssl-policy em uma atualização de proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A sinalização --clear-ssl-policy é descrita em Como excluir uma política de SSL de um proxy SSL de destino ou proxy HTTPS.

Como excluir uma política de SSL de um proxy SSL de destino ou proxy HTTPS

Use o Console ou a ferramenta de linha de comando gcloud para excluir uma política de SSL de um proxy SSL de destino ou de um proxy HTTPS de destino.

Console


  1. Acesse a página Balanceamento de carga no Console do Google Cloud Platform.
    Acessar a página "Balanceamento de carga"
  2. Clique no nome do balanceador de carga HTTPS ou SSL que você quer modificar.
  3. Clique em Editar.
  4. Clique em Configuração do front-end.
  5. Clique no front-end com política de SSL que você quer excluir.
  6. Em Política de SSL, selecione a política a ser atualizada.
  7. Selecione uma política de SSL diferente.
  8. Clique em Concluir.
  9. Clique em Atualizar. A página Detalhes do balanceador de carga é exibida.

gcloud


Use estes comandos para remover uma política de SSL de um proxy SSL ou balanceador de carga HTTPS, em que NAME é o nome do proxy SSL ou HTTPS de destino. Se você não anexar uma política de SSL diferente ao proxy de destino, o balanceador de carga usará a política de SSL padrão. O uso da sinalização --clear-ssl-policy equivale a substituir uma política de SSL pela política padrão.

gcloud compute target-ssl-proxies update NAME \
    --clear-ssl-policy
gcloud compute target-https-proxies update NAME \
    --clear-ssl-policy

Quando você fornece a sinalização --clear-ssl-policy no comando update, a política de SSL é removida do proxy.

Se você não fornecer a sinalização --clear-ssl-policy ou a sinalização --ssl-policy na atualização de proxy de destino (por exemplo, ao atualizar um certificado SSL), a política de SSL não será alterada. A sinalização --ssl-policy é descrita em Como anexar uma política de SSL a um proxy HTTP ou SSL de destino.

Limites

  • É possível configurar no máximo 10 políticas de SSL por projeto.
  • Não é possível configurar mais de uma política de SSL por proxy.

Problemas conhecidos

Os balanceadores de carga que não têm um conjunto de políticas de SSL no momento permitem o uso de quatro conjuntos de criptografia ​​não utilizáveis ​​quando uma política de SSL está habilitada. Esses conjuntos de criptografia são:

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256

O Google está suspendendo o suporte a esses conjuntos de criptografia. Com o tempo, eles não serão mais aceitos por nenhum balanceador de carga.

A seguir