AWS为网路负载平衡器加入TLS终止简化后端伺服器加解密工作

AWS让使用者终止网路负载平衡器的TLS，以简化建构安全网页应用程式的过程。当使用者使用HTTPS协定存取网站的时候，伺服器端与客户端会进行SSL/TLS交握，双方会协商加密方式、交换金钥以及设定对话金钥，以创建安全的通讯通道。一旦通道建立，则对话的两端，都会使用对话金钥加密和解密流量。

在网路负载平衡器终止TLS，这将能让使用者的后端伺服器，免于加密和解密所有计算密集工作的流量。不过即便这样，后端伺服器仍可以获得来源IP以及连接埠资讯，而且AWS提到，大规模使用TLS协定，代表伺服器的凭证需要被发送到每个后端伺服器，这不只会产生额外的工作，也因为存在多个凭证副本，因此增加了攻击面。TLS终止提供使用者一个单一集中的凭证管理点，简化複杂性。

AWS还承诺提供零时差修补服务，AWS表示，由于TLS协定设计複杂，实作又会不时更新以应付新的威胁，在网路负载平衡器进行TLS终止，可以保护后端伺服器，并由AWS代为进行更新。使用者也可以为网路负载平衡器启用存取日誌，并将其导入到S3储存桶，日誌可以纪录TLS协定版本、密码套件、连接时间、交握时间等详细讯息。