Cara menyesuaikan kebijakan keamanan TLS - Anti-DDoS

Anti-DDoS Pro dan Anti-DDoS Premium memungkinkan Anda menyesuaikan kebijakan Keamanan Lapisan Transport (TLS). Anda dapat mengatur versi protokol TLS dan paket sandi untuk situs web yang dilindungi oleh Anti-DDoS Pro atau Anti-DDoS Premium. Setelah kebijakan keamanan TLS dimodifikasi untuk suatu situs web, instans Anti-DDoS Pro atau Anti-DDoS Premium akan memproses lalu lintas permintaan ke nama domain situs web tersebut berdasarkan versi protokol TLS, paket sandi, dan pengaturan National Transport Layer Security (NTLS) yang telah dikonfigurasi. Permintaan yang tidak memenuhi persyaratan akan dibuang. Topik ini menjelaskan cara menyesuaikan kebijakan keamanan TLS.

Versi protokol TLS yang didukung

Anti-DDoS Pro dan Anti-DDoS Premium (Daratan Tiongkok) mendukung sertifikat HTTPS standar internasional maupun sertifikat HTTPS berbasis NTLS. Anti-DDoS Pro dan Anti-DDoS Premium (Luar daratan Tiongkok) hanya mendukung sertifikat HTTPS standar internasional.

Tabel berikut menjelaskan versi TLS default dan versi protokol TLS yang dapat dikonfigurasi setelah Anda mengunggah sertifikat HTTPS.

Jenis sertifikat

Versi TLS default

Versi protokol TLS yang dapat dikonfigurasi

Sertifikat HTTPS standar internasional

Anti-DDoS Pro dan Anti-DDoS Premium (Daratan Tiongkok): TLS 1.0, TLS 1.1, dan TLS 1.2 didukung secara default.

Anti-DDoS Pro dan Anti-DDoS Premium (Luar daratan Tiongkok): TLS 1.1 dan TLS 1.2 didukung secara default.

Anda dapat memodifikasi versi protokol TLS dan paket sandi yang sesuai. Versi protokol berikut didukung:

TLS 1.0 dan yang lebih baru (termasuk TLS 1.0, TLS 1.1, dan TLS 1.2)
TLS 1.1 dan yang lebih baru (termasuk TLS 1.1 dan TLS 1.2)
TLS 1.2 dan yang lebih baru (termasuk TLS 1.2)

Catatan

Untuk menggunakan TLS 1.3, Anda harus mengaktifkan sakelar Enable TLS 1.3 Support.

Sebagai contoh, jika Anda memiliki instans Anti-DDoS Pro atau Anti-DDoS Premium di Daratan Tiongkok dan bisnis Anda harus mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) 3.2, Anda mungkin ingin menonaktifkan protokol TLS 1.0. Untuk melakukannya, atur TLS Version For HTTPS Certificate menjadi TLS 1.1 And Later. Good Compatibility And Security. Jika bisnis lain memiliki klien yang memerlukan dukungan TLS 1.3, aktifkan sakelar Enable TLS 1.3 Support.

Sertifikat HTTPS Guomi

NTLS 1.1 didukung secara default.

Anda tidak dapat memodifikasi versi protokol TLS dan paket sandi.

Prasyarat

Anda telah menambahkan konfigurasi situs web dan mengatur Protocol Type-nya agar mencakup HTTPS. Untuk informasi selengkapnya, lihat Add a website configuration.

Memodifikasi kebijakan keamanan TLS untuk sertifikat HTTPS standar internasional

Masuk ke halaman Website Config di konsol Anti-DDoS Proxy.
Pada bilah navigasi atas, pilih wilayah instans Anda.
- Anti-DDoS Proxy (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.
- Anti-DDoS Proxy (Luar Daratan Tiongkok): Pilih wilayah Luar Daratan Tiongkok.
Pada halaman Website Config, temukan nama domain target dan klik Edit pada kolom Actions.

Pada tab Modify Website Configurations, modifikasi TLS Security Settings untuk sertifikat HTTPS standar internasional.

Item konfigurasi

Deskripsi

TLS Versions for SSL Certificate

Pilih versi protokol TLS yang didukung oleh sertifikat HTTPS standar internasional. Opsi:

TLS 1.0 And Later. Best Compatibility, Low Security.: Mendukung TLS 1.0, TLS 1.1, dan TLS 1.2.
TLS 1.1 And Later. Good Compatibility And Security.: Mendukung TLS 1.1 dan TLS 1.2.
TLS 1.2 And Later. Good Compatibility, High Security.: Mendukung TLS 1.2.

Catatan

Jika diperlukan, Anda juga dapat mengaktifkan dukungan TLS 1.3 dan memilih suite TLS 1.3 yang sesuai dalam pengaturan paket sandi kustom.

Cipher Suites for SSL Certificate

Pilih paket sandi yang didukung oleh sertifikat HTTPS standar internasional.

Catatan

Anda dapat mengarahkan penunjuk ke ikon di sebelah opsi paket sandi untuk melihat paket sandi yang termasuk dalam opsi tersebut.

All Cipher Suites. Low Security, High Compatibility. (Default)
Opsi ini mencakup paket sandi berikut:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES256-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- AES128-SHA
- AES256-SHA
- DES-CBC3-SHA
Enhanced Cipher Suites. Very High Security, Very Low Compatibility.
Opsi ini tersedia hanya jika TLS Version diatur ke TLS 1.2 And Later. Good Compatibility, High Security.
Opsi ini mencakup paket sandi berikut:
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
Strong Cipher Suites. High Security, Low Compatibility.
Opsi ini tersedia hanya jika TLS Version diatur ke TLS 1.2 And Later. Good Compatibility, High Security.
Opsi ini mencakup paket sandi berikut:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES256-SHA
Custom Cipher Suite
Opsi ini memungkinkan Anda memilih satu atau beberapa paket sandi dari semua suite yang tersedia. Jika Anda mengaktifkan TLS 1.3, pilih suite berikut:
- TLS_AES_256_GCM_SHA384 (TLS 1.3)
- TLS_CHACHA20_POLY1305_SHA256 (TLS 1.3)
- TLS_AES_128_GCM_SHA256 (TLS 1.3)
- TLS_AES_128_CCM_8_SHA256 (TLS 1.3)
- TLS_AES_128_CCM_SHA256 (TLS 1.3)

Klik Next dan ikuti petunjuk di layar untuk menyelesaikan modifikasi.