为CLB配置HTTPS监听时,TLS安全策略决定了CLB与客户端进行TLS协商时支持的TLS协议版本和加密算法套件。CLB预置了部分常用的TLS安全策略供用户直接选择。
工作原理
TLS安全策略配置在CLB侧,用于定义其在TLS协商中支持的TLS协议版本和加密算法套件。在握手过程中,客户端通过Client Hello发送支持的协议版本和加密套件列表,CLB根据策略从列表中选择双方都支持的协议版本和加密套件组合并以Server Hello响应,后续步骤(如密钥交换、会话密钥生成)均基于此方案进行。
TLS安全策略
各类信息安全标准可能对CLB的TLS安全策略提出要求,用户可展开下表查看各策略支持的TLS协议版本和加密算法套件,用户可按需配置。CLB不支持自定义TLS安全策略,如有需求,可使用ALB或NLB。
对于面向公网且无特殊兼容性要求的应用,建议使用 tls_cipher_policy_1_2 及以上策略。
策略详情
策略名称 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 |
TLS协议版本 | v1.0 | 支持 | 不支持 | 不支持 | 不支持 | 不支持 |
v1.1 | 支持 | 支持 | 不支持 | 不支持 | 不支持 |
v1.2 | 支持 | 支持 | 支持 | 支持 | 支持 |
v1.3 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
加密算法套件 | ECDHE-RSA-AES128-GCM-SHA256 | 支持 | 支持 | 支持 | 支持 | 支持 |
ECDHE-RSA-AES256-GCM-SHA384 | 支持 | 支持 | 支持 | 支持 | 支持 |
ECDHE-RSA-AES128-SHA256 | 支持 | 支持 | 支持 | 支持 | 支持 |
ECDHE-RSA-AES256-SHA384 | 支持 | 支持 | 支持 | 支持 | 支持 |
AES128-GCM-SHA256 | 支持 | 支持 | 支持 | 不支持 | 不支持 |
AES256-GCM-SHA384 | 支持 | 支持 | 支持 | 不支持 | 不支持 |
AES128-SHA256 | 支持 | 支持 | 支持 | 不支持 | 不支持 |
AES256-SHA256 | 支持 | 支持 | 支持 | 不支持 | 不支持 |
ECDHE-RSA-AES128-SHA | 支持 | 支持 | 支持 | 支持 | 支持 |
ECDHE-RSA-AES256-SHA | 支持 | 支持 | 支持 | 支持 | 支持 |
AES128-SHA | 支持 | 支持 | 支持 | 不支持 | 不支持 |
AES256-SHA | 支持 | 支持 | 支持 | 不支持 | 不支持 |
DES-CBC3-SHA | 支持 | 支持 | 支持 | 不支持 | 不支持 |
TLS_AES_256_GCM_SHA384 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
TLS_CHACHA20_POLY1305_SHA256 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
TLS_AES_128_CCM_SHA256 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
TLS_AES_128_CCM_8_SHA256 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
ECDHE-ECDSA-AES128-GCM-SHA256 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
ECDHE-ECDSA-AES256-GCM-SHA384 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
ECDHE-ECDSA-AES128-SHA256 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
ECDHE-ECDSA-AES256-SHA384 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
ECDHE-ECDSA-AES128-SHA | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
ECDHE-ECDSA-AES256-SHA | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
为监听配置TLS安全策略
控制台
添加HTTPS监听时,在SSL证书页签,单击高级配置后面的编辑,在展开项中选择TLS安全策略。
修改TLS安全策略:在实例详情页的监听页签,单击目标HTTPS监听名称打开监听详情对话框,在SSL证书区域修改TLS安全策略。
计费说明
TLS安全策略本身不产生任何费用。购买和使用CLB实例将产生费用。
常见问题
CLB支持配置自定义TLS安全策略吗?
不支持。CLB目前仅支持预设的TLS安全策略。
如有自定义TLS安全策略的需求,推荐使用以下产品:
TLS加密算法套件名称对照表
下表提供了各加密算法套件在OpenSSL格式、IANA标准格式和十六进制之间的对照关系。
对照表详情
OpenSSL格式 | IANA标准格式 | 十六进制 |
ECDHE-ECDSA-AES128-GCM-SHA256 | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 0xC02B |
ECDHE-ECDSA-AES256-GCM-SHA384 | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 0xC02C |
ECDHE-ECDSA-AES128-SHA256 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 0xC023 |
ECDHE-ECDSA-AES256-SHA384 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 0xC024 |
ECDHE-RSA-AES128-GCM-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 0xC02F |
ECDHE-RSA-AES256-GCM-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 0xC030 |
ECDHE-RSA-AES128-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 0xC027 |
ECDHE-RSA-AES256-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 0xC028 |
AES128-GCM-SHA256 | TLS_RSA_WITH_AES_128_GCM_SHA256 | 0x009C |
AES256-GCM-SHA384 | TLS_RSA_WITH_AES_256_GCM_SHA384 | 0x009D |
AES128-SHA256 | TLS_RSA_WITH_AES_128_CBC_SHA256 | 0x003C |
AES256-SHA256 | TLS_RSA_WITH_AES_256_CBC_SHA256 | 0x003D |
ECDHE-ECDSA-AES128-SHA | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 0xC009 |
ECDHE-ECDSA-AES256-SHA | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 0xC00A |
ECDHE-RSA-AES128-SHA | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 0xC013 |
ECDHE-RSA-AES256-SHA | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 0xC014 |
AES128-SHA | TLS_RSA_WITH_AES_128_CBC_SHA | 0x002F |
AES256-SHA | TLS_RSA_WITH_AES_256_CBC_SHA | 0x0035 |
DES-CBC3-SHA | TLS_RSA_WITH_3DES_EDE_CBC_SHA | 0x000A |
TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | 0x1302 |
TLS_CHACHA20_POLY1305_SHA256 | TLS_CHACHA20_POLY1305_SHA256 | 0x1303 |
TLS_AES_128_CCM_SHA256 | TLS_AES_128_CCM_SHA256 | 0x1304 |
TLS_AES_128_CCM_8_SHA256 | TLS_AES_128_CCM_8_SHA256 | 0x1305 |