DDoS高防支援TLS安全性原則自訂功能,您可以根據實際業務需要,為已接入DDoS高防防護的網站業務設定合適的TLS協議版本、密碼編譯演算法套件。為網站業務修改TLS安全性原則後,DDoS高防執行個體在處理網站網域名稱的請求流量時,會採用已配置的TLS協議版本、加密套件及國密相關配置,當請求不滿足條件時將被丟棄。本文介紹如何自訂TLS安全性原則。
支援的TLS協議版本
DDoS高防(中國內地)支援上傳國際標準HTTPS認證和國密標準HTTPS認證,DDoS高防(非中國內地)僅支援上傳國際標準HTTPS認證。
上傳HTTPS認證後預設支援的TLS版本以及支援調整的TLS協議版本如下表所示。
認證類型 | 預設支援的TLS版本 | 支援調整的TLS協議版本 |
國際標準HTTPS認證 | DDoS高防(中國內地):預設支援TLS 1.0、TLS 1.1和TLS 1.2版本。 DDoS高防(非中國內地):預設支援TLS 1.1和TLS 1.2版本。 | 支援修改TLS協議版本及對應的加密套件,支援的協議版本如下。
說明 如果您需要使用TLS 1.3版本,需要單獨設定開啟支援TLS1.3開關。 例如,您購買了DDoS高防(中國內地)執行個體,如果您的業務需要通過PCI DSS 3.2認證,希望禁用TLS 1.0協議,您可以在TLS安全性原則配置中修改HTTPS認證TLS版本為支援TLS1.1及以上版本,相容性較好,安全性較好。而您的另一個業務的訪問終端需要支援TLS 1.3協議,您可以在TLS安全性原則配置中開啟開啟支援TLS1.3開關。 |
國密標準HTTPS認證 | 預設支援NTLS 1.1版本。 | 不支援修改TLS協議版本及加密套件。 |
前提條件
已添加網站配置,且網站配置的協議類型包含HTTPS。具體操作,請參見添加網站配置。
修改國際標準HTTPS認證的TLS安全性原則
登入DDoS高防控制台的網域名稱接入頁面。
在頂部功能表列左上方處,根據DDoS高防產品選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在網域名稱接入頁面定位到目標網域名稱,在操作列下單擊編輯。
在编辑网站頁簽,修改國際標準HTTPS認證的TLS安全性原則。
配置項
說明
TLS版本:
選擇國際標準HTTPS認證支援的TLS協議版本。可選項:
支援TLS1.0及以上版本,相容性最好,安全性較低:支援TLS 1.0、TLS 1.1和TLS 1.2。
支援TLS1.1及以上版本,相容性較好,安全性較好:支援TLS 1.1和TLS 1.2。
支援TLS1.2及以上版本,相容性較好,安全性很高:支援TLS 1.2。
說明也可以根據需要選擇開啟支援TLS1.3,並在自訂加密套件中選擇應用對應的TLS1.3套件。
加密套件:
選擇國際標準HTTPS認證支援的加密套件。
說明您可以將游標放置在某個加密套件選項上的
表徵圖,查看該選項包含的加密套件。單擊下一步,根據指引完成修改。