在AWS API網關中，如何將HTTPS密碼限制爲提供完美轉發保密的密碼？

Question

我們希望使用API​​網關，並且我們希望Perfect Forward Secrecy（https://en.wikipedia.org/wiki/Forward_secrecy）。

實現此目的的一種方法是，當通過HTTPS/TLS1.2連接到基於Diffie Hellman（即不允許RSA）的密碼時，限制可用的密碼。有沒有辦法限制API網關中的密碼？

另外，有沒有辦法配置API網關，使其不會終止HTTPS，而是將其轉發給AWS負載平衡器（因爲AWS負載平衡器確實支持限制密碼套件）？

我的研究表明API網關確實允許使用不支持完美轉發保密的密碼進行HTTPS連接）。

謝謝！

Answer 1

有沒有辦法限制API網關中的密碼？

據我所知，沒有。 API網關似乎受CloudFront支持，而CloudFront也不允許TLS密碼套件配置。

或者，有沒有辦法配置API網關，使得它不會終止HTTPS，而是轉發到AWS負載平衡器

不，它不能做TCP直通。

我的研究表明API網關不會允許與加密HTTPS連接不支持完全正向保密

是。並非所有的瀏覽器/用戶代理都支持臨時密鑰，並且API網關需要支持所有這些密鑰（儘管隨着舊事物消失，該列表變得越來越小）。

API網關被配置爲寧願使用支持ECDHE的密碼套件，所以如果瀏覽器/用戶代理支持ECDHE，它將很可能被使用。

如果您絕對必須限制對提供FS的密碼套件的支持，那麼您需要找到除API網關以外的解決方案，或者在API網關之前放置一個反向代理以確保使用FS，出一種方法來限制API網關只接受來自反向代理的連接。