DDoS高防支持TLS安全策略自定义功能,您可以根据实际业务需要,为已接入DDoS高防防护的网站业务设置合适的TLS协议版本和加密算法套件。本文介绍了修改TLS安全策略的具体操作。
前提条件
- 已添加网站配置,且网站配置关联了增强功能套餐的DDoS高防实例。相关操作,请参见添加网站。
目前仅增强功能套餐的DDoS高防实例支持自定义TLS配置。如果您使用标准功能套餐的DDoS高防实例,建议您升级DDoS高防实例到增强功能套餐后,再使用该功能。关于升级DDoS高防实例的具体操作,请参见升级DDoS高防实例规格。
- 网站配置的协议类型包含HTTPS,且已上传对应的HTTPS证书。相关操作,请参见上传HTTPS证书。
背景信息
DDoS高防实例支持设置的TLS协议版本包含1.0/1.1/1.2/1.3。接入DDoS高防(新BGP)实例防护的网站业务默认支持TLS 1.0、1.1和1.2版本,接入DDoS高防(国际)实例防护的网站业务默认支持TLS 1.1和1.2版本。如果上述默认配置不能满足您的业务需求,您可以手动修改TLS安全策略。
例如,假设您的业务需要通过PCI DSS 3.2认证,希望禁用TLS 1.0协议,而您的另一个业务的访问终端仅支持TLS 1.0协议,需要兼容TLS 1.0协议。这种情况下,您可以通过TLS安全策略自定义功能为不同业务灵活配置所需的TLS安全策略。
操作步骤
- 定位到要操作的域名,单击证书状态列中的TLS安全策略。注意 只有当域名关联了增强功能套餐的DDoS高防实例,且协议类型包含HTTPS、证书状态为正常时,才支持设置TLS安全策略。
- 在TLS安全策略配置对话框,配置TLS版本和加密套件。
参数 说明 TLS版本 选择HTTPS支持的TLS协议版本。可选项: - 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1和TLS 1.2。
- 支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1和TLS 1.2。
- 支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。
您也可以根据需要选择开启支持TLS1.3。
加密套件 选择HTTPS支持的加密套件。可选项: 说明 您可以将光标放置在某个加密套件选项上的
图标,查看该选项包含的加密套件。
- 全部加密套件,安全性较低,兼容性较高(默认)
该选项包含以下加密套件:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- AES128-SHA256 AES256-SHA256
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES256-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- AES128-SHA AES256-SHA
- DES-CBC3-SHA
- 强加密套件,安全性较高,兼容性较低:只有在TLS版本为支持TLS1.2及以上版本,兼容性较好,安全性很高时,支持该选项。
该选项包含以下加密套件:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES256-SHA
- 自定义加密套件:选择该选项后,您需要从全部加密套件中选择一个或多个加密套件。
执行结果
为网站业务修改TLS安全策略后,DDoS高防实例在处理网站域名的请求流量时,会采用已配置的TLS协议版本及加密套件。如果客户端请求使用了不支持的TLS协议版本,则该请求将被丢弃。