阿里云CDN提供TLS版本控制功能,您可以根据不同域名的需求,灵活地配置TLS协议版本,低版本的TLS协议将提供对老版本浏览器的支持,但是协议的安全性相对更差一些,高版本的TLS协议将提供更高的安全性,但是对老版本浏览器的兼容性相对差一些。通过本文,您可以了解TLS的概念、使用场景和版本配置方法。

背景信息

TLS(Transport Layer Security)即安全传输层协议,在两个通信应用程序之间提供保密性和数据完整性,最典型的应用就是HTTPS。HTTPS即HTTP over TLS,就是更安全的HTTP,运行在HTTP层之下,TCP层之上,为HTTP层提供数据加解密服务。
协议 说明 支持的主流浏览器
TLSv1.0 RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。
  • IE6+
  • Chrome 1+
  • Firefox 2+
TLSv1.1 RFC4346,2006年发布,修复TLSv1.0若干漏洞。
  • IE 11+
  • Chrome 22+
  • Firefox 24+
  • Safri 7+
TLSv1.2 RFC5246,2008年发布,目前广泛使用的版本。
  • IE 11+
  • Chrome 30+
  • Firefox 27+
  • Safri 7+
TLSv1.3 RFC8446,2018年发布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密钥交换算法(更安全)。
  • Chrome 70+
  • Firefox 63+

操作步骤

执行操作前,请您确保已成功配置HTTPS证书,操作方法请参见配置HTTPS证书

说明 默认开启TLSv1.0、TLSv1.1和TLSv1.2版本。
  1. 登录CDN控制台
  2. 在左侧导航栏,单击域名管理
  3. 域名管理页面,单击目标域名对应的管理
  4. 在指定域名的左侧导航栏,单击HTTPS配置
  5. TLS版本控制区域,根据所需开启或关闭对应的TLS版本。
    TLS协议版本说明请参见背景信息TLS版本控制

推荐配置

场景 配置
兼容老客户同时对安全协议没那么高要求。 开启TLSv1.0、TLSv1.1和TLSv1.2版本。
对浏览器安全协议要求非常高(牺牲一部分用户体验换取更安全的协议)。 仅开启TLSv1.2版本。
尝鲜新技术 开启TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。