AWS网络负载均衡器现已支持TLS终止

从亚马逊AWS官方了解到，目前AWS可让使用者终止网络负载平衡器的TLS，来简化建构安全网页应用程序的过程。

当使用者使用HTTPS协议访问网站的时候，服务器端与客户端会进行SSL/TLS交互，双方会协商加密方式、交换密钥以及设定会话密钥，以创建安全的通讯通道。而一旦通道建立，则会话的两端，都会使用会话密钥加密和解密流量。

在网络负载平衡器上终止TLS，这将能让使用者的后端服务器，免于加密和解密所有计算密集工作的流量。不过即便这样，后端服务器仍可以获得来源IP以及连接埠的信息。而且AWS提到，大规模使用TLS协议，代表服务器的证书需要被发送到每个后端服务器，这不只会产生额外的工作，也因为存在多个证书副本，而增加了攻击面。

所以TLS终止将提供使用者一个单一集中的证书管理点，从而简化了复杂性。

AWS还承诺提供零时差修补服务。AWS表示，由于TLS协议设计复杂，在实操过程中需要不时更新以应付新的威胁，这时在网络负载平衡器进行TLS终止，可以保护后端服务器，并由AWS代为进行更新。使用者也可以为网络负载平衡器启用访问日志，并将其导入到S3储存桶，日志可以纪录TLS协议版本、密码套件、连接时间、交互时间等详细信息。