TLS加密套件与协议版本配置

当客户端对边缘安全加速 ESA节点发起HTTPS请求时,节点会响应请求并触发TLS握手流程,客户端与节点将共同商定一套兼容的加密套件和协议版本,以确保双向数据传输的安全性。您可根据业务需要调整TLS加密套件和协议版本。

TLS协议版本

TLS(传输层安全协议,Transport Layer Security)及其前身SSL(安全套接字层,Secure Sockets Layer)是一种旨在提供计算机网络上的安全通信的加密协议,该协议允许端和端之间的数据交互进行加密传输,保障通信的可靠性和保密性。

TLS协议版本包括1.0、1.1、1.2、1.3,其中TLS1.3协议是安全性和性能最高的协议。

TLS加密套件组

TLS加密套件(Cipher Suite)是用于TLS协议中的一系列加密算法组合,由认证、加密、消息认证码三部分组成。在执行TLS握手时,客户端与服务器将共同商定一套兼容的加密方案,即加密套件,确保客户端与服务器之间的数据传输以选定的加密套件进行安全加密,不同的加密套件具有不同的安全性。

TLS加密套件组(Cipher Suite Group)是指一系列加密套件的组合。

如何选择TLS加密套件组和TLS协议

业务场景

加密套件组

支持的TLS协议

特点

对兼容性要求较高,安全性要求可适当放宽的大部分网站或应用

全部加密算法套件(默认)

TLS1.0、TLS1.1、TLS1.2、TLS1.3(可选)

支持数量最多的加密套件和协议,具有良好的兼容性,能兼容旧版浏览器和各类型的端设备,但部分加密套件安全性较差。

对安全性要求较高的网站或应用

强加密算法套件

TLS1.2、TLS1.3

支持的加密套件和协议均为安全类型,配置强加密算法套件可以提高网站的安全等级,但兼容性相比全部加密算法套件(默认)较差。

对加密套件和TLS协议概念有较多理解,希望指定加密算法套件

自定义加密算法套件

TLS1.2、TLS1.3

支持自定义选择加密算法,根据您选择的不同加密算法,安全性和兼容性也会存在差异。

不同加密套件组支持的算法请见:加密套件组支持的算法

配置TLS加密套件与协议版本

  1. 登录ESA控制台

  2. 在左侧导航栏,单击站点管理

  3. 站点管理页面,单击目标站点名称,或对应站点操作列的详情

  4. 在左侧导航栏,选择SSL/TLS > 边缘证书

  5. TLS加密套件与协议版本配置区域,单击配置,根据实际业务场景选择加密套件组和TLS协议image

    说明

    强加密算法套件自定义加密算法套件默认仅支持TLS1.2和TLS1.3协议,且不可修改。

  6. 单击确定