DDoS高防支持TLS安全策略自定义功能,您可以根据实际业务需要,为已接入DDoS高防防护的网站业务设置合适的TLS协议版本、加密算法套件以及国密相关配置。本文介绍了修改TLS安全策略的具体操作。

背景信息

DDoS高防(新BGP)支持上传国际标准证书和国密标准证书,DDoS高防(国际)仅支持上传国际标准证书。上传证书后接入实例防护的网站业务默认支持的TLS协议版本如下:
  • DDoS高防(新BGP):国际标准证书默认支持TLS 1.0、TLS 1.1和TLS 1.2版本,国密标准证书默认支持NTLS 1.1版本。
  • DDoS高防(国际):国际标准证书默认支持TLS 1.1和TLS 1.2版本。
如果上述默认配置不能满足您的业务需求,您可以手动修改TLS协议版本及对应的加密套件,支持设置的TLS协议版本及加密套件如下表所示。
实例类型 标准功能 增强功能
DDoS高防(新BGP)
  • 国际标准证书:
    • 支持TLS 1.0及以上版本(TLS 1.0、TLS 1.1和TLS 1.2),加密套件仅可选择全部加密套件。
    • 支持TLS 1.2及以上版本(TLS 1.2),加密套件可选择全部加密套件或增强加密套件。
    说明
    • 关于各加密套件包含的具体内容,请参见操作步骤
    • 如果您需要使用TLS 1.3版本及自定义加密套件,请将功能套餐升级至增强功能。具体操作,请参见升级实例
  • 国密标准证书:目前仅支持设置是否开启国密验证功能,以及是否仅支持国密客户端访问。暂不支持修改TLS协议版本及加密套件。
  • 国际标准证书:
    • 支持TLS 1.0及以上版本(TLS 1.0、TLS 1.1和TLS 1.2),加密套件可选择全部加密套件或自定义加密套件。
    • 支持TLS 1.1及以上版本(TLS 1.1和TLS 1.2),加密套件可选择全部加密套件或自定义加密套件。
    • 支持TLS 1.2及以上版本(TLS 1.2),加密套件可选择全部加密套件、增强加密套件、强加密套件或自定义加密套件。
    说明 如果您需要使用TLS 1.3版本,需要单独设置开启支持TLS1.3开关。具体操作,请参见操作步骤
  • 国密标准证书:目前仅支持设置是否开启国密验证功能,以及是否仅支持国密客户端访问。暂不支持修改TLS协议版本及加密套件。
DDoS高防(国际) 标准功能暂不支持自定义TLS安全策略。

如果默认配置不能满足您的业务需求,请将功能套餐升级至增强功能,然后再自定义TLS安全策略。具体操作,请参见升级实例

国际标准证书:
  • 支持TLS 1.0及以上版本(TLS 1.0、TLS 1.1和TLS 1.2),加密套件可选择全部加密套件或自定义加密套件。
  • 支持TLS 1.1及以上版本(TLS 1.1和TLS 1.2),加密套件可选择全部加密套件或自定义加密套件。
  • 支持TLS 1.2及以上版本(TLS 1.2),加密套件可选择全部加密套件、增强加密套件、强加密套件或自定义加密套件。
说明 如果您需要使用TLS 1.3版本,需要单独设置开启支持TLS1.3开关。具体操作,请参见操作步骤

您可以通过TLS安全策略自定义功能为不同业务灵活配置所需的TLS安全策略。例如,您购买了DDoS高防(新BGP)增强功能实例,如果您的业务需要通过PCI DSS 3.2认证,希望禁用TLS 1.0协议,您可以在TLS安全策略配置中修改HTTPS证书TLS版本支持TLS1.1及以上版本,兼容性较好,安全性较好。而您的另一个业务的访问终端需要支持TLS 1.3协议,您可以在TLS安全策略配置中打开开启支持TLS1.3开关。

前提条件

满足如下条件时,才支持设置TLS安全策略:
  • 已添加网站配置,且网站配置的协议类型包含HTTPS。具体操作,请参见添加网站
  • 已根据网站业务的需要上传证书。具体操作,请参见上传HTTPS证书

操作步骤

  1. 登录DDoS高防控制台
  2. 在顶部菜单栏左上角处,选择服务所在地域:
    • 中国内地:选择该地域将跳转到DDoS高防(新BGP)控制台。
    • 非中国内地:选择该地域将跳转到DDoS高防(国际)控制台。
    您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。
  3. 在左侧导航栏,选择接入管理 > 域名接入
  4. 如果您的实例是DDoS高防(新BGP)实例,按照以下操作配置TLS安全策略。
    1. 找到要操作的域名,单击证书状态列下的TLS安全策略
    2. TLS安全策略配置对话框,配置相关信息。
      参数 说明
      HTTPS证书TLS版本 选择国际标准HTTPS证书支持的TLS协议版本。可选项:
      • 标准功能:
        • 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1和TLS 1.2。
        • 支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。
      • 增强功能:
        • 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1和TLS 1.2。
        • 支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1和TLS 1.2。
        • 支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。

        您也可以根据需要选择开启支持TLS1.3

      HTTPS证书加密套件 选择国际标准HTTPS证书支持的加密套件。标准功能和增强功能具体可选哪些加密套件请参见控制台,此处罗列两个功能套餐中所有的可选项:
      说明 您可以将光标放置在某个加密套件选项上的问号图标,查看该选项包含的加密套件。
      • 全部加密套件,安全性较低,兼容性较高(默认)
        该选项包含以下加密套件:
        • ECDHE-ECDSA-AES128-GCM-SHA256
        • ECDHE-ECDSA-AES256-GCM-SHA384
        • ECDHE-ECDSA-AES128-SHA256
        • ECDHE-ECDSA-AES256-SHA384
        • ECDHE-RSA-AES128-GCM-SHA256
        • ECDHE-RSA-AES256-GCM-SHA384
        • ECDHE-RSA-AES128-SHA256
        • ECDHE-RSA-AES256-SHA384
        • AES128-GCM-SHA256
        • AES256-GCM-SHA384
        • AES128-SHA256
        • AES256-SHA256
        • ECDHE-ECDSA-AES128-SHA
        • ECDHE-ECDSA-AES256-SHA
        • ECDHE-RSA-AES128-SHA
        • ECDHE-RSA-AES256-SHA
        • AES128-SHA
        • AES256-SHA
        • DES-CBC3-SHA
      • 增强加密套件:安全性很高,兼容性很低
        该选项包含以下加密套件:
        • ECDHE-ECDSA-AES256-GCM-SHA384
        • ECDHE-ECDSA-AES128-SHA256
        • ECDHE-RSA-AES128-GCM-SHA256
        • ECDHE-RSA-AES256-GCM-SHA384
      • 强加密套件,安全性较高,兼容性较低
        该选项包含以下加密套件:
        • ECDHE-ECDSA-AES128-GCM-SHA256
        • ECDHE-ECDSA-AES256-GCM-SHA384
        • ECDHE-ECDSA-AES128-SHA256
        • ECDHE-ECDSA-AES256-SHA384
        • ECDHE-RSA-AES128-GCM-SHA256
        • ECDHE-RSA-AES256-GCM-SHA384
        • ECDHE-RSA-AES128-SHA256
        • ECDHE-RSA-AES256-SHA384
        • ECDHE-ECDSA-AES128-SHA
        • ECDHE-ECDSA-AES256-SHA
      • 自定义加密套件:选择该选项后,您需要从全部加密套件中选择一个或多个加密套件。
      开启国密 设置DDoS高防(新BGP)是否支持处理安装国密标准证书的客户端发来的请求。

      通过验证,DDoS高防(新BGP)支持处理360浏览器和红莲花浏览器发来的国密请求。

      国密标准证书上传成功后,默认关闭。

      • 开启:支持处理
      • 关闭:不支持处理
      说明
      • 开启开启国密开关,才支持开启仅支持国密客户端访问
      • 关闭开启国密开关前,需要先关闭仅支持国密客户端访问
      仅支持国密客户端访问 设置DDoS高防(新BGP)是否仅支持处理安装国密标准证书的客户端发来的请求。国密标准证书上传成功后,默认关闭。
      • 开启:仅支持处理安装国密标准证书的客户端发来的请求。
      • 关闭:支持处理安装国密标准证书的客户端,以及安装国际标准证书的客户端发来的请求。
      说明
      • 开启开启国密开关,才支持开启仅支持国密客户端访问
      • 关闭开启国密开关前,需要先关闭仅支持国密客户端访问
      国密HTTPS加密套件 国密标准证书上传成功后,默认支持启用如下加密套件,暂不支持修改。
      • ECC-SM2-SM4-CBC-SM3
      • ECC-SM2-SM4-GCM-SM3
      • ECDHE-SM2-SM4-CBC-SM3
      • ECDHE-SM2-SM4-GCM-SM3
    3. 单击确定
  5. 如果您的实例是DDoS高防(国际)实例,按照以下操作配置TLS安全策略。
    说明 DDoS高防(国际)仅增强功能支持自定义TLS安全策略。
    1. 找到要操作的域名,单击证书状态列下的TLS安全策略
    2. TLS安全策略配置对话框,配置相关信息。
      参数 说明
      HTTPS证书TLS版本 选择国际标准HTTPS证书支持的TLS协议版本。可选项:
      • 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1和TLS 1.2。
      • 支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1和TLS 1.2。
      • 支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。

      您也可以根据需要选择开启支持TLS1.3

      HTTPS证书加密套件 选择国际标准HTTPS证书支持的加密套件。可选项:
      说明 您可以将光标放置在某个加密套件选项上的问号图标,查看该选项包含的加密套件。
      • 全部加密套件,安全性较低,兼容性较高(默认)
        该选项包含以下加密套件:
        • ECDHE-ECDSA-AES128-GCM-SHA256
        • ECDHE-ECDSA-AES256-GCM-SHA384
        • ECDHE-ECDSA-AES128-SHA256
        • ECDHE-ECDSA-AES256-SHA384
        • ECDHE-RSA-AES128-GCM-SHA256
        • ECDHE-RSA-AES256-GCM-SHA384
        • ECDHE-RSA-AES128-SHA256
        • ECDHE-RSA-AES256-SHA384
        • AES128-GCM-SHA256
        • AES256-GCM-SHA384
        • AES128-SHA256
        • AES256-SHA256
        • ECDHE-ECDSA-AES128-SHA
        • ECDHE-ECDSA-AES256-SHA
        • ECDHE-RSA-AES128-SHA
        • ECDHE-RSA-AES256-SHA
        • AES128-SHA
        • AES256-SHA
        • DES-CBC3-SHA
      • 强加密套件,安全性较高,兼容性较低:只有在TLS版本支持TLS1.2及以上版本,兼容性较好,安全性很高时,支持该选项。
        该选项包含以下加密套件:
        • ECDHE-ECDSA-AES128-GCM-SHA256
        • ECDHE-ECDSA-AES256-GCM-SHA384
        • ECDHE-ECDSA-AES128-SHA256
        • ECDHE-ECDSA-AES256-SHA384
        • ECDHE-RSA-AES128-GCM-SHA256
        • ECDHE-RSA-AES256-GCM-SHA384
        • ECDHE-RSA-AES128-SHA256
        • ECDHE-RSA-AES256-SHA384
        • ECDHE-ECDSA-AES128-SHA
        • ECDHE-ECDSA-AES256-SHA
      • 自定义加密套件:选择该选项后,您需要从全部加密套件中选择一个或多个加密套件。
    3. 单击确定

执行结果

为网站业务修改TLS安全策略后,DDoS高防实例在处理网站域名的请求流量时,会采用已配置的TLS协议版本、加密套件及国密相关配置。当请求不满足条件时将被丢弃。