TLS安全策略

更新时间: 2023-11-24 14:06:04

您在创建和配置HTTPS监听时,支持使用TLS安全策略。TLS安全策略包含自定义策略和系统默认策略。

系统默认策略

TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件。TLS协议版本越高,HTTPS通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。

安全策略

支持的TLS版本

支持的加密算法套件

tls_cipher_policy_1_0

TLSv1.0、TLSv1.1和TLSv1.2

加密算法套件只要被您选择的任何一个TLS版本支持即可。例如您如果选择了TLSv1.3,那么加密算法套件列表必须包含TLSv1.3支持的加密算法套件。

  • TLSv1.0和TLSv1.1 支持:

    • ECDHE-ECDSA-AES128-SHA

    • ECDHE-ECDSA-AES256-SHA

    • ECDHE-RSA-AES128-SHA

    • ECDHE-RSA-AES256-SHA

    • AES128-SHA

    • AES256-SHA

    • DES-CBC3-SHA

  • TLSv1.2支持:

    • ECDHE-ECDSA-AES128-SHA

    • ECDHE-ECDSA-AES256-SHA

    • ECDHE-RSA-AES128-SHA

    • ECDHE-RSA-AES256-SHA

    • AES128-SHA

    • AES256-SHA

    • DES-CBC3-SHA

    • ECDHE-ECDSA-AES128-GCM-SHA256

    • ECDHE-ECDSA-AES256-GCM-SHA384

    • ECDHE-ECDSA-AES128-SHA256

    • ECDHE-ECDSA-AES256-SHA384

    • ECDHE-RSA-AES128-GCM-SHA256

    • ECDHE-RSA-AES256-GCM-SHA384

    • ECDHE-RSA-AES128-SHA256

    • ECDHE-RSA-AES256-SHA384

    • AES128-GCM-SHA256

    • AES256-GCM-SHA384

    • AES128-SHA256

    • AES256-SHA256

  • TLSv1.3支持:

    • TLS_AES_128_GCM_SHA256

    • TLS_AES_256_GCM_SHA384

    • TLS_CHACHA20_POLY1305_SHA256

    • TLS_AES_128_CCM_SHA256

    • TLS_AES_128_CCM_8_SHA256

tls_cipher_policy_1_1

TLSv1.1和TLSv1.2

tls_cipher_policy_1_2

TLSv1.2

tls_cipher_policy_1_2_strict

TLSv1.2

tls_cipher_policy_1_2_strict_with_1_3

TLSv1.2及TLSv1.3

自定义策略

完成以下操作,创建自定义策略。

  1. 登录应用型负载均衡ALB控制台
  2. 在左侧导航栏,选择应用型负载均衡ALB > TLS安全策略

  3. TLS安全策略页面,单击自定义策略页签下的创建自定义策略

  4. 完成以下配置,然后单击创建

    配置

    说明

    名称

    输入自定义策略名称。长度为2~128个字符,必须以大小写字母或中文开头,可包含数字、半角句号(.)、下划线(_)和短划线(-)。

    选择最低版本

    选择最低TLS安全策略版本:

    • TLS 1.0及以上

    • TLS 1.1及以上

    • TLS 1.2及以上

    启用TLS 1.3版本

    选择是否启用TLS 1.3版本。

    警告

    如果启用TLS 1.3版本,请至少选择一个TLS 1.3的加密算法套件,否则可能无法成功建立连接。

    选择加密算法套件

    选择TLS版本支持的加密算法套件。关于TLS版本支持的加密算法套件的更多信息,请参见系统默认策略

    选择资源组

    在下拉列表选择所属的资源组。

    标签

    设置标签键标签值

    设置标签后,您可以在TLS安全策略页面使用标签筛选自定义策略。

TLS安全策略差异说明

下表中,✔表示支持,-表示不支持。

安全策略

tls_cipher_policy_1_0

tls_cipher_policy_1_1

tls_cipher_policy_1_2

tls_cipher_policy_1_2_strict

tls_cipher_policy_1_2_strict_with_1_3

TLS

-

1.0、1.1和1.2

1.1和1.2

1.2

1.2

1.2和1.3

CIPHER

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256

-

-

AES256-GCM-SHA384

-

-

AES128-SHA256

-

-

AES256-SHA256

-

-

ECDHE-RSA-AES128-SHA

ECDHE-RSA-AES256-SHA

AES128-SHA

-

-

AES256-SHA

-

-

DES-CBC3-SHA

-

-

TLS_AES_128_GCM_SHA256

-

-

-

-

TLS_AES_256_GCM_SHA384

-

-

-

-

TLS_CHACHA20_POLY1305_SHA256

-

-

-

-

TLS_AES_128_CCM_SHA256

-

-

-

-

TLS_AES_128_CCM_8_SHA256

-

-

-

-

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES256-SHA384

ECDHE-ECDSA-AES128-SHA

ECDHE-ECDSA-AES256-SHA

阿里云首页 负载均衡 相关技术圈