當用戶端對節點發起請求時,節點響應並啟動TLS握手,使用設定的TLS版本以確保通訊安全。若用戶端不支援該版本,串連將無法建立。您可按需調整TLS版本可平衡老舊瀏覽器安全色性與安全性:較低TLS版本擴大支援範圍,但安全強度減弱;較高TLS版本則增強安全,但可能限制舊版瀏覽器訪問。
背景資訊
TLS(Transport Layer Security)即安全傳輸層協議,在兩個通訊應用程式之間提供保密性和資料完整性,最典型的應用就是HTTPS。HTTPS即HTTP over TLS,就是更安全的HTTP,運行在HTTP層之下,TCP層之上,為HTTP層提供資料加解密服務。
|
協議 |
說明 |
支援的主流瀏覽器 |
|
TLSv1.0 |
RFC2246,1999年發布,基於SSLv3.0,該版本易受各種攻擊(如BEAST和POODLE),除此之外,支援較弱加密,對當今網路連接的安全已失去應有的保護效力。不符合PCI DSS合規判定標準。 |
|
|
TLSv1.1 |
RFC4346,2006年發布,修複TLSv1.0若干漏洞。 |
|
|
TLSv1.2 |
RFC5246,2008年發布,是目前廣泛使用的版本。 |
|
|
TLSv1.3 |
RFC8446,2018年發布,最新的TLS版本,支援0-RTT模式(更快),只支援完全前向安全性金鑰交換演算法(更安全)。 |
|
操作步驟
執行操作前,請您確保已成功配置HTTPS認證,操作方法請參見配置HTTPS認證。
預設開啟TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。
登入CDN控制台。
在左側導覽列,單擊域名管理。
在域名管理頁面,找到目標網域名稱,單擊操作列的管理。
在指定網域名稱的左側導覽列,單擊HTTPS配置。
-
在TLS加密套件與協議版本配置地區,根據需要選擇加密套件和開啟對應的TLS版本。
可配置的TLS協議版本包括 TLSv1.0、TLSv1.1、TLSv1.2 和 TLSv1.3,根據需要開啟或關閉對應版本。
支援如下加密套件,請根據需求選擇:
-
全部密碼編譯演算法套件 (預設):安全性較低,相容性較高,支援的密碼編譯演算法請見CDN預設支援的TLS密碼編譯演算法。
-
強密碼編譯演算法套件:安全性較高,相容性較低,支援的密碼編譯演算法:
-
TLS_AES_256_GCM_SHA384
-
TLS_AES_128_GCM_SHA256
-
TLS_CHACHA20_POLY1305_SHA256
-
ECDHE-ECDSA-CHACHA20-POLY1305
-
ECDHE-RSA-CHACHA20-POLY1305
-
ECDHE-ECDSA-AES128-GCM-SHA256
-
ECDHE-RSA-AES128-GCM-SHA256
-
ECDHE-ECDSA-AES128-CCM8
-
ECDHE-ECDSA-AES128-CCM
-
ECDHE-ECDSA-AES256-GCM-SHA384
-
ECDHE-RSA-AES256-GCM-SHA384
-
ECDHE-ECDSA-AES256-CCM8
-
ECDHE-ECDSA-AES256-CCM
-
ECDHE-ECDSA-ARIA256-GCM-SHA384
-
ECDHE-ARIA256-GCM-SHA384
-
ECDHE-ECDSA-ARIA128-GCM-SHA256
-
ECDHE-ARIA128-GCM-SHA256
-
-
自訂密碼編譯演算法套件:請根據需要選擇加密套件。
TLS協議版本說明請參見背景資訊。
-