DDoS高防支持TLS安全策略自定义功能,您可以根据实际业务需要,为已接入DDoS高防防护的网站业务设置合适的TLS协议版本、加密算法套件。为网站业务修改TLS安全策略后,DDoS高防实例在处理网站域名的请求流量时,会采用已配置的TLS协议版本、加密套件及国密相关配置,当请求不满足条件时将被丢弃。本文介绍如何自定义TLS安全策略。
支持的TLS协议版本
DDoS高防(中国内地)支持上传国际标准HTTPS证书和国密标准HTTPS证书,DDoS高防(非中国内地)仅支持上传国际标准HTTPS证书。
上传HTTPS证书后默认支持的TLS版本以及支持调整的TLS协议版本如下表所示。
证书类型 | 默认支持的TLS版本 | 支持调整的TLS协议版本 |
国际标准HTTPS证书 | DDoS高防(中国内地):默认支持TLS 1.0、TLS 1.1和TLS 1.2版本。 DDoS高防(非中国内地):默认支持TLS 1.1和TLS 1.2版本。 | 支持修改TLS协议版本及对应的加密套件,支持的协议版本如下。
说明 如果您需要使用TLS 1.3版本,需要单独设置开启支持TLS1.3开关。 例如,您购买了DDoS高防(中国内地)实例,如果您的业务需要通过PCI DSS 3.2认证,希望禁用TLS 1.0协议,您可以在TLS安全策略配置中修改HTTPS证书TLS版本为支持TLS1.1及以上版本,兼容性较好,安全性较好。而您的另一个业务的访问终端需要支持TLS 1.3协议,您可以在TLS安全策略配置中打开开启支持TLS1.3开关。 |
国密标准HTTPS证书 | 默认支持NTLS 1.1版本。 | 不支持修改TLS协议版本及加密套件。 |
前提条件
已添加网站配置,且网站配置的协议类型包含HTTPS。具体操作,请参见添加网站配置。
修改国际标准HTTPS证书的TLS安全策略
登录DDoS高防控制台的域名接入页面。
在顶部菜单栏左上角处,根据DDoS高防产品选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在域名接入页面定位到目标域名,在操作列下单击编辑。
在编辑网站页签,修改国际标准HTTPS证书的TLS安全策略。
配置项
说明
HTTPS证书TLS版本
选择国际标准HTTPS证书支持的TLS协议版本。可选项:
支持TLS1.0及以上版本,兼容性最好,安全性较低:支持TLS 1.0、TLS 1.1和TLS 1.2。
支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1和TLS 1.2。
支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。
您也可以根据需要选择开启支持TLS1.3。
HTTPS证书加密套件
选择国际标准HTTPS证书支持的加密套件。
说明您可以将光标放置在某个加密套件选项上的
图标,查看该选项包含的加密套件。单击下一步,根据指引完成修改。