Suítes de Cifragem para Balanceadores de Carga

Use conjuntos de criptogramas com um balanceador de carga para determinar a segurança, a compatibilidade e a velocidade do tráfego HTTPS.

Suíte de cifragem é uma entidade lógica para um conjunto de algoritmos ou cifragens, usando TLS (Transport Layer Security) para determinar a segurança, a compatibilidade e a velocidade do tráfego HTTPS. Todas as ciphers estão associadas a pelo menos uma versão do TLS 1.0, 1.1, 1.2 e 1.3.

Observação

Qualquer suíte de cifragem que você usar ou criar deverá conter cifragens individuais que correspondam à versão do TLS suportada em seu ambiente. Algumas cifras podem funcionar com várias versões do TLS. Se seu ambiente suportar pelo menos uma das versões de TLS associadas com uma cifra específica, você poderá usá-la.

Designe pelo menos uma cifragem a uma suíte de cifragem que você criar. Não é possível criar uma suíte de cifragem que não contenha ciphers.

Quando você cria ou edita um listener, adiciona ou pode alterar a suíte de cifragem associada. Só pode haver uma suíte de cifragem anexada a um listener de cada vez, o que controla todas as cifragens permitidas. A suíte de cifragem anexada ao listener deve ter todas as cifragens para as quais você precisa de suporte. Consulte Listeners para Balanceadores de Carga para obter mais informações.

Selecione Suítes de Criptografia em Recursos na página Detalhes do balanceador de carga para exibir a página Suítes de criptografia. Essa página contém um botão para criar suítes de cifragens.

Esta página também contém uma lista de todas as suítes de cifragens disponíveis, aquelas que vieram originalmente pré-configurados do Oracle Cloud Infrastructure (Predefinido=Sim) e aquelas que você mesmo criou (Predefinido=Não). Você pode alterar ou excluir as suítes de criptografia que você mesmo criou. Não é possível alterar ou excluir suítes de cifragem predefinidas.

Aqui estão informações de referência para cifragens e suítes de cifragem:

Suítes de cifragem predefinidas.

Suítes de cifragem obsoletas.

Cifras suportadas.

Cifras obsoletas.

Você pode executar estas tarefas de gerenciamento de suítes de cifragem:

Liste as suítes de cifragem em um balanceador de carga.

Crie uma suíte de criptografia para um balanceador de carga.

Obtenha detalhes de uma suíte de criptografia.

Edite as configurações de uma suíte de cifragem.

Exclua uma suíte de criptografia de um balanceador de carga.

Observe os seguintes itens relacionados aos pacotes de criptogramas:

  • Certifique-se da compatibilidade entre os protocolos SSL especificados e as ciphers configuradas na suíte ou então o handshake SSL não será bem-sucedido.
  • Certifique-se da compatibilidade entre as cifragens configuradas na suíte e os certificados configurados (por exemplo, cifragens baseadas em RSA exigem um certificado RSA, enquanto cifragens baseadas em ECDSA exigem certificados ECDSA).
  • Para todos os recursos do balanceador de carga e do listener que foram criados antes de o recurso de suítes de cifragens estar disponível, aplique-se o seguinte:
    • Ao executar uma operação GET, o valor da suíte de cifragem retornado é por padrão "oci-default-ssl-cipher-suite-v1" na configuração SSL do listener. Você pode atualizar esse valor editando o balanceador de carga ou o listener.
    • Ao executar uma operação GET, o valor da suíte de cifragem retornado será exibido como "oci-customized-ssl-cipher-suite" na configuração SSL do listener se a configuração de cifragem for personalizada após a criação do balanceador de carga por meio de operações do sistema Oracle.
  • Para todos os conjuntos de backend do balanceador de carga existentes criados antes que o recurso de suítes de cifragens estivesse disponível, a execução de uma operação GET exibe o valor da suíte de cifragem como "oci-wider-compatible-ssl-cipher-suite-v1" na configuração SSL do conjunto de backend.
  • Se a execução de uma operação GET em um listener do balanceador de carga exibir o valor da suíte de criptografia como "oci-customized-ssl-cipher-suite", selecione o nome apropriado da suíte de criptografia (predefinida ou personalizada) ao atualizar esses balanceadores de carga.
  • O nome da suíte de criptografia "oci-customized-ssl-cipher-suite" é reservado para uso do sistema Oracle e não é aceitável como nome disponível para uma suíte de criptografia personalizada.

Suítes de Cifragem em Listeners e Conjuntos de Backend

Quando você cria um balanceador de carga, a especificação da suíte de cifragem faz parte da configuração do listener e do conjunto de backend. Consulte Criando um Balanceador de Carga para obter mais informações.

Se você planeja usar o protocolo TLS v1.3 com um conjunto de backend ou um listener no mesmo balanceador de carga, não poderá usar a suíte de cifragem predefinida oci-wider-compatible-ssl-cipher-suite-v1 ou qualquer suíte de cifragem personalizada que contenha qualquer uma das seguintes cifragens obsoletas:

  • DHE-DSS-AES128-GCM-SHA256
  • DHE-DSS-AES128-SHA256
  • DHE-DSS-AES256-GCM-SHA384
  • DHE-DSS-AES256-SHA256
  • ECDH-ECDSA-AES128-GCM-SHA256
  • ECDH-ECDSA-AES128-SHA256
  • ECDH-ECDSA-AES256-GCM-SHA384
  • ECDH-ECDSA-AES256-SHA384
  • ECDH-RSA-AES128-GCM-SHA256
  • ECDH-RSA-AES128-SHA256
  • ECDH-RSA-AES256-GCM-SHA384
  • ECDH-RSA-AES256-SHA384
  • IDEIA-CBC-SHA
  • RC4-MD5