用户在阿里云上部署的网站或应用程序对互联网提供服务时,通常会配置HTTPS加密以确保数据的安全传输。针对HTTPS场景,ALB预置了部分常用的TLS安全策略以满足加密需求,您可根据您的安全需求选择合适的TLS安全策略,或者配置自定义TLS安全策略,从而保证您业务的安全性。
系统默认策略
系统默认策略有哪些
TLS安全策略包含了可选的TLS协议版本和配套的加密算法套件。TLS协议版本越高,加密通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。
安全策略 | 支持的TLS协议版本 | 支持的加密算法套件 |
安全策略 | 支持的TLS协议版本 | 支持的加密算法套件 |
tls_cipher_policy_1_0 |
|
|
tls_cipher_policy_1_1 |
|
|
tls_cipher_policy_1_2 | TLSv1.2 |
|
tls_cipher_policy_1_2_strict | TLSv1.2 |
|
tls_cipher_policy_1_2_strict_with_1_3 |
|
|
系统默认策略差异对比
下表中,✔表示支持,-表示不支持。
安全策略 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
安全策略 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ✔ | - | - | - | - |
v1.1 | ✔ | ✔ | - | - | - | |
v1.2 | ✔ | ✔ | ✔ | ✔ | ✔ | |
v1.3 | - | - | - | - | ✔ | |
CIPHER | ECDHE-ECDSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-GCM-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-GCM-SHA384 | ✔ | ✔ | ✔ | - | - | |
AES128-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-SHA256 | ✔ | ✔ | ✔ | - | - | |
ECDHE-ECDSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-SHA | ✔ | ✔ | ✔ | - | - | |
AES256-SHA | ✔ | ✔ | ✔ | - | - | |
DES-CBC3-SHA | ✔ | ✔ | ✔ | - | - | |
TLS_AES_128_GCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ✔ | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ✔ | |
自定义策略
什么时候使用自定义策略
ALB预置了部分常用的TLS安全策略以满足通用需求,但当您有特定的安全或合规需求时,例如需要仅支持特定版本的TLS协议、禁用某些加密算法套件等,您可在ALB中自定义TLS安全策略并配置到监听中,从而进一步提升业务的安全性。
使用限制
基础版ALB实例不支持自定义策略。
标准版、WAF增强版ALB实例仅HTTPS监听模式下支持自定义策略。
如何配置自定义策略
完成以下操作,创建自定义策略。
在左侧导航栏,选择。
在TLS安全策略页面,单击自定义策略页签下的创建自定义策略。
在创建TLS安全策略对话框中,完成以下参数配置(本文仅给出强相关配置参数信息,其他参数可保持默认值或根据实际情况修改)。配置完成后单击新建。
配置
说明
配置
说明
名称
输入自定义策略名称。
选择最低版本
选择最低TLS安全策略版本:
TLS 1.0及以上
TLS 1.1及以上
TLS 1.2及以上
启用TLS 1.3版本
选择是否启用TLS 1.3版本。
如果启用TLS 1.3版本,请至少选择一个TLS 1.3的加密算法套件,否则可能无法成功建立连接。
选择加密算法套件
选择TLS版本支持的加密算法套件。
自定义策略创建完成后,需要在创建HTTPS监听时的配置SSL证书步骤使用,具体细节可参考添加HTTPS监听。
相关文档
ALB的HTTPS监听详细配置步骤与注意事项可参考添加HTTPS监听。
ALB配置自定义TLS安全策略的产品教程可参考ALB通过自定义TLS安全策略提升网站安全等级。
ALB的更多HTTPS应用场景配置教程,您可参考配置全链路HTTPS访问实现加密通信、单ALB实例配置多域名HTTPS网站、使用ALB部署HTTPS业务(双向认证)、使用ALB将HTTP访问重定向至HTTPS。
- 本页导读 (1)
- 系统默认策略
- 系统默认策略有哪些
- 系统默认策略差异对比
- 自定义策略
- 什么时候使用自定义策略
- 使用限制
- 如何配置自定义策略
- 相关文档
