DDoS高防支持TLS安全策略自定义功能,您可以根据实际业务需要选择合适的TLS协议。

前提条件

  • 已添加网站配置,且网站配置已关联增强功能套餐的DDoS高防实例。更多信息,请参见添加网站
  • 网站配置中支持HTTPS协议,且已上传对应的HTTPS证书。更多信息,请参见上传HTTPS证书

背景信息

如果您的业务需要通过PCI DSS 3.2认证,希望禁用TLS1.0协议。同时,您的另一个业务的访问终端仅支持TLS1.0协议,需要兼容TLS1.0协议。这种情况下,您可以通过TLS安全策略自定义功能为不同业务灵活配置所需的TLS安全策略。

操作步骤

  1. 登录DDoS高防控制台
  2. 在顶部导航栏,选择服务所在地域:
    • 中国大陆:DDoS高防(新BGP)服务
    • 非中国大陆:DDoS高防(国际)服务
  3. 在左侧导航栏,单击接入管理 > 域名接入
  4. 选择已添加的网站业务配置,单击其证书状态列中的TLS安全策略
    TLS安全策略
  5. TLS安全策略配置对话框中,选择TLS版本加密套件,并单击确定TLS安全策略配置
    • TLS版本
      • 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认)
      • 支持TLS1.1及以上版本,兼容性较好,安全性较好
      • 支持TLS1.2及以上版本,兼容性较好,安全性很高
    • 加密套件
      • 强加密套件,安全性较高,兼容性较低
        仅支持以下强加密套件:
        • ECDHE-ECDSA-AES256-GCM-SHA384
        • ECDHE-RSA-AES256-GCM-SHA384
        • ECDHE-ECDSA-AES128-GCM-SHA256
        • ECDHE-RSA-AES128-GCM-SHA256
        • ECDHE-ECDSA-WITH-CHACHA20-POLY1305
        • ECDHE-RSA-WITH-CHACHA20-POLY1305
        • ECDHE-RSA-AES256-CBC-SHA
        • ECDHE-RSA-AES128-CBC-SHA
        • ECDHE-ECDSA-AES256-CBC-SHA
        • ECDHE-ECDSA-AES128-CBC-SHA
      • 全部加密套件,安全性较低,兼容性较高
        除上述强加密套件外,还支持以下四种弱加密套件:
        • RSA-AES256-CBC-SHA
        • RSA-AES128-CBC-SHA
        • ECDHE-RSA-3DES-EDE-CBC-SHA
        • RSA-3DES-EDE-CBC-SHA