All Products
Search

This Product

    Anti-DDoS:Ubah kebijakan keamanan TLS untuk situs web Anda

    Document Center

    Anti-DDoS:Ubah kebijakan keamanan TLS untuk situs web Anda

    Last Updated:Jun 24, 2026

    Anti-DDoS Proxy mendukung kebijakan keamanan TLS kustom. Anda dapat menentukan versi protokol TLS dan paket sandi untuk website yang dilindungi oleh Anti-DDoS Proxy guna memenuhi kebutuhan bisnis Anda. Setelah Anda mengubah kebijakan keamanan TLS untuk sebuah website, instans Anti-DDoS Proxy akan menggunakan versi protokol TLS, paket sandi, dan pengaturan terkait Guomi yang telah dikonfigurasi untuk memproses permintaan bagi domain tersebut. Instans tersebut akan menolak permintaan yang tidak memenuhi persyaratan. Topik ini menjelaskan cara menyesuaikan kebijakan keamanan TLS.

    Versi Protokol TLS yang Didukung

    Anti-DDoS Proxy mendukung sertifikat HTTPS standar internasional maupun sertifikat HTTPS Guomi. Namun, saat ini Anti-DDoS Proxy hanya mendukung sertifikat HTTPS standar internasional.

    Tabel berikut menjelaskan versi TLS default dan yang dapat dikonfigurasi setelah Anda mengunggah sertifikat HTTPS.

    Jenis

    Versi TLS Default

    Versi TLS yang Dapat Dikonfigurasi

    Sertifikat HTTPS standar internasional

    Anti-DDoS Proxy: Mendukung TLS 1.0, TLS 1.1, dan TLS 1.2 secara default.

    Anti-DDoS Proxy: Mendukung TLS 1.1 dan TLS 1.2 secara default.

    Anda dapat mengubah versi protokol TLS dan paket sandi. Versi protokol yang didukung adalah:

    • TLS 1.0 dan versi lebih baru (termasuk TLS 1.0, TLS 1.1, dan TLS 1.2)

    • TLS 1.1 dan versi lebih baru (termasuk TLS 1.1 dan TLS 1.2)

    • TLS 1.2 dan versi lebih baru (termasuk TLS 1.2)

    Catatan

    Untuk menggunakan TLS 1.3, Anda harus mengaktifkan sakelar Enable TLS 1.3 Support secara terpisah.

    Sebagai contoh, jika Anda memiliki instans Anti-DDoS Proxy dan bisnis Anda harus mematuhi PCI DSS 3.2, Anda dapat menonaktifkan TLS 1.0 dengan mengatur TLS Versions for SSL Certificate menjadi TLS 1.1 and later. This setting provides good compatibility and medium security. dalam kebijakan keamanan TLS. Jika layanan lain memerlukan titik akhir klien untuk mendukung TLS 1.3, Anda dapat mengaktifkan sakelar Enable TLS 1.3 Support.

    Sertifikat HTTPS Guomi

    Mendukung NTLS 1.1 secara default.

    Anda tidak dapat mengubah versi protokol TLS atau paket sandi.

    Prasyarat

    Anda harus menambahkan Konfigurasi situs web dan mengatur Protocol Type-nya agar mencakup HTTPS. Untuk informasi selengkapnya, lihat Add a Website Configuration.

    Mengubah Kebijakan Keamanan TLS

    1. Masuk ke halaman Website Config di Konsol Anti-DDoS Proxy.

    2. Di bilah navigasi atas, pilih wilayah instans Anda.

      • Anti-DDoS Proxy (Tiongkok daratan): Pilih wilayah Tiongkok daratan.

      • Anti-DDoS Proxy (luar Tiongkok daratan): Pilih wilayah luar Tiongkok daratan.

    3. Di halaman Website Config, temukan nama domain target lalu klik Edit pada kolom Actions.

    4. Pada tab Modify Website Configurations, ubah TLS Security Settings untuk sertifikat HTTPS standar internasional.

      Parameter

      Deskripsi

      TLS Versions for SSL Certificate

      Pilih versi protokol TLS yang didukung oleh sertifikat HTTPS standar internasional. Opsi berikut tersedia:

      • TLS 1.0 and later. This setting provides the best compatibility but low security.: Mendukung TLS 1.0, TLS 1.1, dan TLS 1.2.

      • TLS 1.1 and later. This setting provides good compatibility and medium security.: Mendukung TLS 1.1 dan TLS 1.2.

      • TLS 1.2 and later. This setting provides good compatibility and high security level.: Mendukung TLS 1.2.

      Catatan

      Anda juga dapat mengaktifkan dukungan TLS 1.3 dan memilih paket TLS 1.3 yang sesuai dari opsi Custom Cipher Suite.

      Cipher Suites for SSL Certificate

      Pilih paket sandi untuk sertifikat HTTPS standar internasional.

      Catatan

      Anda dapat mengarahkan kursor ke ikon 问号 di sebelah opsi untuk melihat paket sandi yang termasuk di dalamnya.

      • All cipher suites. This setting provides low security but high compatibility.

        Opsi ini mencakup paket sandi berikut:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • AES128-GCM-SHA256

        • AES256-GCM-SHA384

        • AES128-SHA256

        • AES256-SHA256

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

        • ECDHE-RSA-AES128-SHA

        • ECDHE-RSA-AES256-SHA

        • AES128-SHA

        • AES256-SHA

        • DES-CBC3-SHA

      • Enhanced cipher suites. This setting provides a very high security level but a very low compatibility.

        Opsi ini hanya tersedia ketika TLS Version diatur ke TLS 1.2 and later. This setting provides good compatibility and high security level..

        Opsi ini mencakup paket sandi berikut:

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

      • Strong cipher suites. This setting provides a high security level but a low compatibility.

        Opsi ini hanya tersedia ketika TLS versions for HTTPS certificate diatur ke TLS 1.2 and later. This setting provides good compatibility and high security level..

        Opsi ini mencakup paket sandi berikut:

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES128-SHA256

        • ECDHE-ECDSA-AES256-SHA384

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES128-SHA256

        • ECDHE-RSA-AES256-SHA384

        • ECDHE-ECDSA-AES128-SHA

        • ECDHE-ECDSA-AES256-SHA

      • Custom Cipher Suite

        Setelah memilih opsi ini, pilih satu atau beberapa paket sandi dari daftar lengkap. Jika Anda telah mengaktifkan dukungan TLS 1.3, pilih paket berikut:

        • TLS_AES_256_GCM_SHA384 (TLS 1.3)

        • TLS_CHACHA20_POLY1305_SHA256 (TLS 1.3)

        • TLS_AES_128_GCM_SHA256 (TLS 1.3)

        • TLS_AES_128_CCM_8_SHA256 (TLS 1.3)

        • TLS_AES_128_CCM_SHA256 (TLS 1.3)

    5. Klik Next dan ikuti petunjuk di layar untuk menyelesaikan pembaruan.

    FAQ

    • Apakah Anti-DDoS Proxy memvalidasi status sertifikat HTTPS server backend?

      Tidak.

      Instans Anti-DDoS Proxy tidak memvalidasi validitas sertifikat HTTPS pada server backend (seperti ALB, WAF, atau instans ECS origin). Ini mencakup pemeriksaan masa kedaluwarsa, kecocokan nama domain, atau kepercayaan terhadap penerbit sertifikat. Mekanismenya bekerja sebagai berikut:

      • Terminasi SSL/TLS Antarmuka Depan: Saat klien membuat koneksi HTTPS dengan instans Anti-DDoS Proxy, instans tersebut menyelesaikan proses jabat tangan TLS dan mendekripsi trafik di antarmuka depan.

      • Penerusan ke Backend (Plaintext atau Enkripsi Ulang): Trafik yang telah didekripsi diteruskan ke server backend melalui HTTP, atau dienkripsi ulang melalui HTTPS tergantung pada konfigurasi Anda.

      • Kemandirian Sertifikat: Karena terminasi TLS terjadi di lapisan Anti-DDoS Proxy, keamanan tautan backend tidak bergantung pada status sertifikat server backend. Oleh karena itu, meskipun sertifikat server backend sudah kedaluwarsa, ditandatangani sendiri, atau tidak valid, komunikasi HTTPS antara klien dan instans Anti-DDoS Proxy tetap dapat terbentuk secara normal selama sertifikat antarmuka depan pada instans Anti-DDoS Proxy masih valid. Akses bisnis tetap tidak terganggu.

      Catatan

      Meskipun Anti-DDoS Proxy tidak memvalidasi sertifikat backend, kami merekomendasikan penggunaan sertifikat yang valid dan tepercaya pada server backend untuk memastikan keamanan ujung ke ujung, terutama saat pengambilan asal HTTPS diaktifkan antara instans perlindungan dan backend.

    • Apa yang harus saya lakukan jika pemindai keamanan SSL melaporkan kerentanan terkait 3DES?

      Jika pemindai keamanan SSL melaporkan kerentanan terkait 3DES (misalnya, mendeteksi DES-CBC3-SHA), hal ini menunjukkan bahwa konfigurasi paket sandi Anda saat ini mencakup algoritma lemah ini. DES-CBC3-SHA berbasis algoritma 3DES, yang telah dianggap tidak aman oleh industri dan rentan terhadap serangan seperti Sweet32.

      Solusi:

      1. Beralih ke Paket Sandi Preset (Direkomendasikan)
        Di Konsol Anti-DDoS Proxy, ubah konfigurasi paket sandi sertifikat HTTPS ke "Strong Cipher Suites" atau "Enhanced Cipher Suites." Konfigurasi preset ini tidak menyertakan DES-CBC3-SHA dan dapat dengan cepat mengatasi kerentanan tersebut.

      2. Menyesuaikan Paket Sandi
        Jika Anda perlu mempertahankan sandi tertentu, pilih "Custom Cipher Suites" dan hapus centang pada DES-CBC3-SHA dari daftar secara manual. Pastikan paket yang tersisa menggunakan algoritma modern yang aman (seperti AES-GCM atau CHACHA20).

      Jika kerentanan masih muncul setelah perubahan konfigurasi, lakukan langkah pemecahan masalah berikut:

      • Verifikasi Penerapan Konfigurasi: Masuk ke Konsol Anti-DDoS Proxy dan pastikan konfigurasi paket sandi yang diterapkan pada instans telah diperbarui sesuai pengaturan target.

      • Bersihkan Cache Pemindai: Beberapa tool pemindaian menyimpan cache hasil historis. Bersihkan cache dan jalankan pemindaian ulang.

      • Hilangkan Kemungkinan Positif Palsu: Pastikan target pemindaian adalah alamat IP Anti-DDoS Proxy (bukan server origin backend secara langsung) dan periksa apakah tool pemindaian memiliki kesalahan logika positif palsu.