證書寄希望於AWS LAMBDA證書寄託在AWS LAMBDA
能否處理程序AWS拉姆達,通過API網關調用的函數,達到降入要求在所有的連接層來訪問使用什麼證書來建立客戶端的SSL/TLS連接?我想爲我正在構建的API實施證書鎖定策略,因爲我找到了十幾種不鎖定SSL的方式,並且API中的數據不是社交媒體帖子。
任何替代,如不可能?
如果lambda函數沒有訪問連接層是否有進一步實施安全而不是簡單地說「SSL夠」
最後手段
如果沒有按LAMBDA以類似方式不能讓我訪問客戶端連接的證書信息,我將不得不求助於非對稱加密。
的AWS lambda函數不具有與HTTP請求的直接連接,它可以通過很多東西,例如被調用SNS訂閱或簡單的SDK調用。或者,這就是我猜想的目標,您可以通過AWS API網關調用Lambda函數。
所以,如果你想在你的lambda函數任何HTTP或TLS的詳細信息,您需要確保該API網關是數據以某種方式注入,那將拉姆達功能的有效載荷。我不確定這是否可能,深入探索API Gateway documentation可能會進一步幫助您。
謝謝。是的,我的意思是通過API網關進行調用。我還沒有找到關於證書訪問的任何信息,所以我傾向於認爲它可能是不可能的。 –
API網關是一種高級服務,所以如果低級HTTP/TLS數據不可訪問,我不會感到驚訝。或者,您可以使用某種選擇的語言(例如NodeJS)設置您自己的「API網關」,並在代碼中調用您的Lambda函數。這樣您就可以完全訪問低級別的HTTP進程。該應用可以例如在Elastic Beanstalk或EC2實例中運行。 – Bram
是的它是有道理的。你不能吃你的蛋糕,吃它。我的設置需要以lambda運行,以獲得無服務器優勢。我將探索文檔以瞭解我可以從網關推入響應的內容。 –
*「我找到了十幾種可以繞過SSL的方法」*實際上是什麼意思?你如何繞過未實現的認證機制?您是否知道在服務器請求客戶端證書之前,它需要知道它可以對其進行客戶端證書認證的CA? (API網關不是。)或者,如果服務器不請求一個,客戶端實際上並不提供證書* *。 (API網關沒有。)系統沒有客戶端證書可以告訴您。 –
@Michael你認爲這是什麼意思?男人在中間。證書鏈僞造。在HTTP重定向到HTTPS之前轉發欺騙性HTTPS請求。如果您認爲SSL不能被破壞,那麼我們現在就停止對話。 –
我從來沒有建議SSL不能被攻破,但是您提到的問題都沒有真正緩解當前問題的主題,即客戶端身份驗證。如果沒有TLS,API網關已經不支持HTTP。當然,您仍然可以使用HSTS ...並使用自定義域名和證書,您應該也可以使用[HPKP](https://en.m.wikipedia.org/wiki/HTTP_Public_Key_Pinning)但這些也與客戶證書無關......所以我試圖理解你所說的內容。 –