DDoS高防支持TLS安全策略自定义功能,您可以根据实际业务需要,为已接入DDoS高防防护的网站业务设置合适的TLS协议版本、加密算法套件以及国密相关配置。本文介绍如何自定义TLS安全策略。
背景信息
DDoS高防(新BGP)支持上传国际标准证书和国密标准证书,DDoS高防(国际)仅支持上传国际标准证书。上传证书后接入实例防护的网站业务默认支持的TLS协议版本如下:
- DDoS高防(新BGP):国际标准证书默认支持TLS 1.0、TLS 1.1和TLS 1.2版本,国密标准证书默认支持NTLS 1.1版本。
- DDoS高防(国际):国际标准证书默认支持TLS 1.1和TLS 1.2版本。
支持设置的TLS协议版本
如果默认配置不能满足您的业务需求,您可以手动修改TLS协议版本及对应的加密套件,DDoS高防支持设置的TLS协议版本如下表所示。关于TLS版本对应的加密套件,请参见操作步骤。
DDoS高防(新BGP)
功能套餐版本 | 国际标准证书 | 国密标准证书 |
---|---|---|
标准功能 |
说明 如果您需要使用TLS 1.3版本或自定义加密套件,请将功能套餐升级至增强功能。具体操作,请参见升级实例。
|
暂不支持修改TLS协议版本及加密套件。 |
增强功能 |
说明 如果您需要使用TLS 1.3版本,需要单独设置开启支持TLS1.3开关。具体操作,请参见操作步骤。
|
DDoS高防(国际)
功能套餐版本 | 国际标准证书 |
---|---|
标准功能 | 暂不支持自定义TLS安全策略。
请将功能套餐升级至增强功能,然后再自定义TLS安全策略。具体操作,请参见升级实例。 |
增强功能 |
说明 如果您需要使用TLS 1.3版本,需要单独设置开启支持TLS1.3开关。具体操作,请参见操作步骤。
|
使用场景举例
例如,您购买了DDoS高防(新BGP)增强功能实例,如果您的业务需要通过PCI DSS 3.2认证,希望禁用TLS 1.0协议,您可以在TLS安全策略配置中修改HTTPS证书TLS版本为支持TLS1.1及以上版本,兼容性较好,安全性较好。而您的另一个业务的访问终端需要支持TLS 1.3协议,您可以在TLS安全策略配置中打开开启支持TLS1.3开关。
前提条件
操作步骤
执行结果
为网站业务修改TLS安全策略后,DDoS高防实例在处理网站域名的请求流量时,会采用已配置的TLS协议版本、加密套件及国密相关配置。当请求不满足条件时将被丢弃。