配置TLS版本与加密套件

当客户端对CDN节点发起请求时,节点响应并启动TLS握手,使用设置的TLS版本以确保通信安全。若客户端不支持该版本,连接将无法建立。您可按需调整TLS版本可平衡老旧浏览器兼容性与安全性:较低TLS版本扩大支持范围,但安全强度减弱;较高TLS版本则增强安全,但可能限制旧版浏览器访问。

背景信息

TLS(Transport Layer Security)即安全传输层协议,在两个通信应用程序之间提供保密性和数据完整性,最典型的应用就是HTTPS。HTTPS即HTTP over TLS,就是更安全的HTTP,运行在HTTP层之下,TCP层之上,为HTTP层提供数据加解密服务。

协议

说明

支持的主流浏览器

TLSv1.0

RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。

  • IE6+

  • Chrome 1+

  • Firefox 2+

TLSv1.1

RFC4346,2006年发布,修复TLSv1.0若干漏洞。

  • IE 11+

  • Chrome 22+

  • Firefox 24+

  • Safri 7+

TLSv1.2

RFC5246,2008年发布,目前广泛使用的版本。

  • IE 11+

  • Chrome 30+

  • Firefox 27+

  • Safri 7+

TLSv1.3

RFC8446,2018年发布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密钥交换算法(更安全)。

  • Chrome 70+

  • Firefox 63+

操作步骤

执行操作前,请您确保已成功配置HTTPS证书,操作方法请参见配置HTTPS证书

说明

默认开启TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。

  1. 登录CDN控制台

  2. 在左侧导航栏,单击域名管理

  3. 域名管理页面,找到目标域名,单击操作列的管理

  4. 在指定域名的左侧导航栏,单击HTTPS配置

  5. TLS加密套件与协议版本配置区域,根据需要选择加密套件和开启对应的TLS版本。

    TLS版本控制

    支持如下加密套件,请根据需求选择:

    • 全部加密算法套件(默认):安全性较低,兼容性较高,支持的加密算法请见CDN默认支持的TLS加密算法

    • 强加密算法套件:安全性较高,兼容性较低,支持的加密算法:

      • TLS_AES_256_GCM_SHA384

      • TLS_AES_128_GCM_SHA256

      • TLS_CHACHA20_POLY1305_SHA256

      • ECDHE-ECDSA-CHACHA20-POLY1305

      • ECDHE-RSA-CHACHA20-POLY1305

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES128-CCM8

      • ECDHE-ECDSA-AES128-CCM

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES256-GCM-SHA384

      • ECDHE-ECDSA-AES256-CCM8

      • ECDHE-ECDSA-AES256-CCM

      • ECDHE-ECDSA-ARIA256-GCM-SHA384

      • ECDHE-ARIA256-GCM-SHA384

      • ECDHE-ECDSA-ARIA128-GCM-SHA256

      • ECDHE-ARIA128-GCM-SHA256

    • 自定义加密算法套件:请根据需要选择加密套件。

    TLS协议版本说明请参见背景信息