AI 助理
备案控制台
官方文档
有奖调研
输入文档关键字查找
首页 DDoS防护 DDoS高防 操作指南 接入管理 域名接入 自定义TLS安全策略

网站业务修改TLS安全策略

更新时间:
产品详情
我的收藏

DDoS高防支持TLS安全策略自定义功能,您可以根据实际业务需要,为已接入DDoS高防防护的网站业务设置合适的TLS协议版本、加密算法套件以及国密相关配置。本文介绍如何自定义TLS安全策略。

默认支持的TLS协议版本

DDoS高防(中国内地)支持上传国际标准证书和国密标准证书,DDoS高防(非中国内地)仅支持上传国际标准证书。上传证书后接入实例防护的网站业务默认支持的TLS协议版本如下:

  • DDoS高防(中国内地):国际标准证书默认支持TLS 1.0、TLS 1.1TLS 1.2版本,国密标准证书默认支持NTLS 1.1版本。

  • DDoS高防(非中国内地):国际标准证书默认支持TLS 1.0、TLS 1.1TLS 1.2版本。

支持设置的TLS协议版本

DDoS高防(中国内地)

  • 国际标准证书

    支持手动修改TLS协议版本及对应的加密套件,支持的协议版本如下。

    • 支持TLS 1.0及以上版本(包含TLS 1.0、TLS 1.1TLS 1.2)

    • 支持TLS 1.1及以上版本(包含TLS 1.1TLS 1.2)

    • 支持TLS 1.2及以上版本(包含TLS 1.2)

    说明

    如果您需要使用TLS 1.3版本,需要单独设置开启支持TLS1.3开关。

  • 国密标准证书

    不支持修改TLS协议版本及加密套件。

例如,您购买了DDoS高防(中国内地)实例,如果您的业务需要通过PCI DSS 3.2认证,希望禁用TLS 1.0协议,您可以在TLS安全策略配置中修改HTTPS证书TLS版本支持TLS1.1及以上版本,兼容性较好,安全性较好。而您的另一个业务的访问终端需要支持TLS 1.3协议,您可以在TLS安全策略配置中打开开启支持TLS1.3开关。

DDoS高防(非中国内地)

仅支持国际标准证书,支持手动修改TLS协议版本及对应的加密套件,支持的协议版本如下。

  • 支持TLS 1.0及以上版本(包含TLS 1.0、TLS 1.1TLS 1.2)

  • 支持TLS 1.1及以上版本(包含TLS 1.1TLS 1.2)

  • 支持TLS 1.2及以上版本(包含TLS 1.2)

说明

如果您需要使用TLS 1.3版本,需要单独设置开启支持TLS1.3开关。

前提条件

  • 已添加网站配置,且网站配置的协议类型包含HTTPS。具体操作,请参见添加网站配置

  • 已根据网站业务的需要上传证书。具体操作,请参见上传HTTPS证书

修改DDoS高防(中国内地)实例TLS安全策略

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,根据DDoS高防产品选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 域名接入

  4. 定位到要操作的域名,单击证书状态列下的TLS安全策略

  5. TLS安全策略配置对话框,配置相关信息后单击确定

    配置项

    说明

    HTTPS证书TLS版本

    选择国际标准HTTPS证书支持的TLS协议版本。可选项:

    • 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1TLS 1.2。

    • 支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1TLS 1.2。

    • 支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。

    您也可以根据需要选择开启支持TLS1.3

    HTTPS证书加密套件

    选择国际标准HTTPS证书支持的加密套件。

    说明

    您可以将光标放置在某个加密套件选项上的问号图标,查看该选项包含的加密套件。

    • 全部加密套件,安全性较低,兼容性较高(默认)

      该选项包含以下加密套件:

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-ECDSA-AES128-SHA256

      • ECDHE-ECDSA-AES256-SHA384

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES128-SHA256

      • ECDHE-RSA-AES256-SHA384

      • AES128-GCM-SHA256

      • AES256-GCM-SHA384

      • AES128-SHA256

      • AES256-SHA256

      • ECDHE-ECDSA-AES128-SHA

      • ECDHE-ECDSA-AES256-SHA

      • ECDHE-RSA-AES128-SHA

      • ECDHE-RSA-AES256-SHA

      • AES128-SHA

      • AES256-SHA

      • DES-CBC3-SHA

    • 增强加密套件,安全性很高,兼容性很低

      只有在TLS版本支持TLS1.2及以上版本,兼容性较好,安全性很高时,支持该选项。

      该选项包含以下加密套件:

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-ECDSA-AES128-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES256-GCM-SHA384

    • 强加密套件,安全性较高,兼容性较低

      只有在TLS版本支持TLS1.2及以上版本,兼容性较好,安全性很高时,支持该选项。

      该选项包含以下加密套件:

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-ECDSA-AES128-SHA256

      • ECDHE-ECDSA-AES256-SHA384

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES128-SHA256

      • ECDHE-RSA-AES256-SHA384

      • ECDHE-ECDSA-AES128-SHA

      • ECDHE-ECDSA-AES256-SHA

    • 自定义加密套件

      选择该选项后,您需要从全部加密套件中选择一个或多个加密套件。

    开启国密

    国密标准证书上传成功后,才支持设置本开关,开关默认关闭。

    设置DDoS高防(中国内地)是否支持处理安装国密标准证书的客户端发来的请求。

    通过验证,DDoS高防(中国内地)支持处理360浏览器和红莲花浏览器发来的国密请求。

    • 开启:支持处理

    • 关闭:不支持处理

    关闭开启国密开关前,需要先关闭仅支持国密客户端访问

    仅支持国密客户端访问

    设置DDoS高防(中国内地)是否仅支持处理安装国密标准证书的客户端发来的请求。国密标准证书上传成功后,默认关闭。

    • 开启:仅支持处理安装国密标准证书的客户端发来的请求。

    • 关闭:支持处理安装国密标准证书的客户端,以及安装国际标准证书的客户端发来的请求。

    开启开启国密开关,才支持开启仅支持国密客户端访问

    国密HTTPS加密套件

    国密标准证书上传成功后,默认支持启用如下加密套件,暂不支持修改。

    • ECC-SM2-SM4-CBC-SM3

    • ECC-SM2-SM4-GCM-SM3

    • ECDHE-SM2-SM4-CBC-SM3

    • ECDHE-SM2-SM4-GCM-SM3

修改DDoS高防(非中国内地)实例TLS安全策略

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,根据DDoS高防产品选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 域名接入

  4. 定位到要操作的域名,单击证书状态列下的TLS安全策略

  5. TLS安全策略配置对话框,配置相关信息后单击确定

    配置项

    说明

    HTTPS证书TLS版本

    选择国际标准HTTPS证书支持的TLS协议版本。可选项:

    • 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1TLS 1.2。

    • 支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1TLS 1.2。

    • 支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。

    您也可以根据需要选择开启支持TLS1.3

    HTTPS证书加密套件

    选择国际标准HTTPS证书支持的加密套件。可选项:

    说明

    您可以将光标放置在某个加密套件选项上的问号图标,查看该选项包含的加密套件。

    • 全部加密套件,安全性较低,兼容性较高(默认)

      该选项包含以下加密套件:

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-ECDSA-AES128-SHA256

      • ECDHE-ECDSA-AES256-SHA384

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES128-SHA256

      • ECDHE-RSA-AES256-SHA384

      • AES128-GCM-SHA256

      • AES256-GCM-SHA384

      • AES128-SHA256

      • AES256-SHA256

      • ECDHE-ECDSA-AES128-SHA

      • ECDHE-ECDSA-AES256-SHA

      • ECDHE-RSA-AES128-SHA

      • ECDHE-RSA-AES256-SHA

      • AES128-SHA

      • AES256-SHA

      • DES-CBC3-SHA

    • 增强加密套件,安全性很高,兼容性很低

      只有在TLS版本支持TLS1.2及以上版本,兼容性较好,安全性很高时,支持该选项。

      该选项包含以下加密套件:

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-ECDSA-AES128-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES256-GCM-SHA384

    • 强加密套件,安全性较高,兼容性较低

      只有在TLS版本支持TLS1.2及以上版本,兼容性较好,安全性很高时,支持该选项。

      该选项包含以下加密套件:

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-ECDSA-AES128-SHA256

      • ECDHE-ECDSA-AES256-SHA384

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES128-SHA256

      • ECDHE-RSA-AES256-SHA384

      • ECDHE-ECDSA-AES128-SHA

      • ECDHE-ECDSA-AES256-SHA

    • 自定义加密套件

      选择该选项后,您需要从全部加密套件中选择一个或多个加密套件。

执行结果

为网站业务修改TLS安全策略后,DDoS高防实例在处理网站域名的请求流量时,会采用已配置的TLS协议版本、加密套件及国密相关配置。当请求不满足条件时将被丢弃。

上一篇:上传HTTPS证书下一篇:修改DDoS高防IP的HTTPS证书及TLS安全策略