为GA配置HTTPS监听时,TLS安全策略决定了GA与客户端进行TLS协商时支持的TLS协议版本和加密算法套件。GA预置了部分常用的系统默认策略供用户直接选择。对于有定制安全需求的场景,用户也可以创建自定义TLS安全策略。
工作原理
TLS安全策略配置在GA侧,用于定义其在TLS协商中支持的TLS协议版本和加密算法套件。在握手过程中,客户端通过Client Hello发送支持的协议版本和加密套件列表,GA根据策略从列表中选择双方都支持的协议版本和加密套件组合并以Server Hello响应,后续步骤(如密钥交换、会话密钥生成)均基于此方案进行。
系统默认策略
各类信息安全标准可能对GA的TLS安全策略提出要求,用户可展开下表查看系统默认策略支持的TLS协议版本和加密算法套件,并按需选择。如系统默认策略无法满足需求,可创建自定义策略。
用户也可前往GA控制台的TLS安全策略页面,在系统默认策略页签下查看策略的详细信息。
对于面向公网且无特殊兼容性要求的应用,建议使用 tls_cipher_policy_1_2 及以上策略。
自定义策略
当系统默认策略无法满足用户的安全或合规需求时(例如需要仅支持特定版本的TLS协议、禁用某些加密算法套件),可创建自定义TLS安全策略。
创建自定义策略
前往GA控制台的TLS安全策略页面,单击创建自定义策略,参考以下信息进行配置,配置完成后单击确定。
安全策略名称:自定义策略的名称。
选择最低版本:如业务无特殊兼容性要求,建议选择TLS 1.2及以上保障安全性。
启用TLS 1.3版本:为保障网络通信的安全性与效率,建议在业务兼容的前提下启用。
加密套件:勾选目标加密套件后移至右侧选择框。注意加密套件需要与TLS协议版本匹配。
每个账号下最多可创建50条自定义TLS安全策略。
更新自定义策略的TLS协议版本和加密算法套件
前往GA控制台的TLS安全策略页面,单击目标自定义策略操作列的编辑,在编辑自定义策略对话框更新TLS协议版本和加密算法套件。
删除自定义策略
若自定义策略已被监听使用,请先修改监听的TLS安全策略或删除监听,方可删除自定义策略。
前往GA控制台的TLS安全策略页面,单击目标自定义策略操作列的删除并确定。
为监听配置TLS安全策略
添加HTTPS监听时,在监听配置页面选择TLS安全策略,可选择系统默认策略或自定义策略。无论是在创建标准型按量付费GA实例时、使用配置向导时,还是后续单独添加监听,配置方式相同。
仅标准型按量付费GA实例支持选择自定义TLS安全策略。
监听HTTP协议的最大版本选择为HTTP/3时,不支持选择自定义TLS安全策略。
修改TLS安全策略:在GA控制台的实例列表页单击目标实例ID进入实例详情页,然后在监听页签下单击目标HTTPS监听ID进入监听详情页,在下方SSL证书区域修改TLS安全策略。