當用戶端對CDN節點發起請求時,節點響應並啟動TLS握手,使用設定的TLS版本以確保通訊安全。若用戶端不支援該版本,串連將無法建立。您可按需調整TLS版本可平衡老舊瀏覽器安全色性與安全性:較低TLS版本擴大支援範圍,但安全強度減弱;較高TLS版本則增強安全,但可能限制舊版瀏覽器訪問。
背景資訊
TLS(Transport Layer Security)即安全傳輸層協議,在兩個通訊應用程式之間提供保密性和資料完整性,最典型的應用就是HTTPS。HTTPS即HTTP over TLS,就是更安全的HTTP,運行在HTTP層之下,TCP層之上,為HTTP層提供資料加解密服務。
協議 | 說明 | 支援的主流瀏覽器 |
TLSv1.0 | RFC2246,1999年發布,基於SSLv3.0,該版本易受各種攻擊(如BEAST和POODLE),除此之外,支援較弱加密,對當今網路連接的安全已失去應有的保護效力。不符合PCI DSS合規判定標準。 |
|
TLSv1.1 | RFC4346,2006年發布,修複TLSv1.0若干漏洞。 |
|
TLSv1.2 | RFC5246,2008年發布,目前廣泛使用的版本。 |
|
TLSv1.3 | RFC8446,2018年發布,最新的TLS版本,支援0-RTT模式(更快),只支援完全前向安全性金鑰交換演算法(更安全)。 |
|
操作步驟
執行操作前,請您確保已成功配置HTTPS認證,操作方法請參見配置HTTPS認證。
預設開啟TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。
登入CDN控制台。
在左側導覽列,單擊域名管理。
在域名管理頁面,找到目標網域名稱,單擊操作列的管理。
在指定網域名稱的左側導覽列,單擊HTTPS配置。
在TLS加密套件與協議版本配置地區,根據需要選擇加密套件和開啟對應的TLS版本。
支援如下加密套件,請根據需求選擇:
全部密碼編譯演算法套件(預設):安全性較低,相容性較高,支援的密碼編譯演算法請見CDN預設支援的TLS密碼編譯演算法。
強密碼編譯演算法套件:安全性較高,相容性較低,支援的密碼編譯演算法:
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-ARIA256-GCM-SHA384
ECDHE-ARIA256-GCM-SHA384
ECDHE-ECDSA-ARIA128-GCM-SHA256
ECDHE-ARIA128-GCM-SHA256
自訂密碼編譯演算法套件:請根據需要選擇加密套件。
TLS協議版本說明請參見背景資訊。