TLS协议版本包括TLS v1.0(已禁用)、TLS v1.1、TLS v1.2和TLS v1.3。TLS协议版本越高,HTTPS通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。您可以根据业务需要,在安装证书的Web服务器或阿里云产品上设置证书的TLS协议版本。
证书部署在非阿里云产品的Web服务器
在Web服务器的证书配置文件中,根据实际需求调整ssl_protocols
参数。例如,如果您的环境仅支持TLS v1.1
和TLS v1.2
,则应将ssl_protocols
参数配置为TLSv1.1 TLSv1.2
。若您还需要启用对TLS v1.3的支持,请在此基础上添加TLSv1.3
,即将ssl_protocols
参数配置为TLSv1.1 TLSv1.2 TLSv1.3
。
下面以 Nginx 为例,介绍如何在 Web 服务器中修改 TLS协议版本。
步骤一:打开Nginx配置文件
您可以使用如下命令打开Nginx的配置文件进行编辑。通常这个配置文件位于/etc/nginx/nginx.conf
或/etc/nginx/conf.d/
目录下的某个.conf
文件中。
sudo nano /etc/nginx/nginx.conf
或者如果您有单独的站点配置文件,可能是这样的路径:
sudo nano /etc/nginx/sites-available/default
步骤二:修改server块中的SSL设置
找到与HTTPS相关的server
块并添加或修改ssl_protocols
行来指定支持的TLS协议版本。如下的配置修改,以启用TLS 1.2 和 TLS 1.3版本为例。请确保您的客户端支持已配置的TLS协议版本,否则可能会遇到连接失败的问题。
server {
listen 443 ssl;
server_name yourdomain.com;
# SSL证书和密钥路径
ssl_certificate /path/to/your_certificate.crt;
ssl_certificate_key /path/to/your_private.key;
# 设置支持的SSL/TLS协议版本
ssl_protocols TLSv1.2 TLSv1.3;
# 可选:设置更安全的加密套件
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
location / {
root /var/www/html;
index index.html index.htm;
}
}
步骤三:检查配置并重启Nginx
保存更改后,检查Nginx配置是否正确无误:
sudo nginx -t
如果配置文件没有问题,您会看到类似于下面的输出信息:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
如果有任何配置上的错误,Nginx将会指出具体在哪个文件、哪一行出现了问题并给出错误详情,您可以据此进行修正。
如果测试成功,您需要执行以下命令来重启Nginx服务使配置生效:
sudo systemctl reload nginx
# 或者
sudo service nginx restart
这样就完成了对Nginx服务器TLS协议版本的修改。
随着时间的推移,可能会出现新的安全标准,同时旧的标准也可能不再被推荐使用,因此,定期审查和更新加密标准,对保持网站安全而言至关重要。
证书部署在阿里云产品
如果您的证书部署在以下阿里云产品,请根据对应的操作步骤设置证书的TLS协议版本。需要注意的是,此处内容为简要操作步骤,完整内容请点击下方对应的文档链接查看详情。
DDoS高防
操作步骤
登录DDoS高防控制台。
在顶部菜单栏左上角处,根据DDoS高防产品选择地域。
DDoS高防(中国内地):选择中国内地地域。
DDoS高防(非中国内地):选择非中国内地地域。
在左侧导航栏,选择
。定位到要操作的域名,单击证书状态列下的TLS安全策略。
在TLS安全策略配置对话框,配置HTTPS证书TLS版本等相关信息后单击确定。其他配置信息的填写,请参见自定义TLS安全策略。
地域
国际标准HTTPS证书支持的TLS协议版本可选项
DDoS高防(中国内地)
标准功能:
支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1和TLS 1.2。
支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。
增强功能:
支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1和TLS 1.2。
支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1和TLS 1.2。
支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。
您也可以根据需要选择开启支持TLS1.3。
DDoS高防(非中国内地)
支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1和TLS 1.2。
支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1和TLS 1.2。
支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。
您也可以根据需要选择开启支持TLS1.3。
更多内容,请参见自定义TLS安全策略。
Web应用防火墙
操作步骤
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,单击接入管理。
在CNAME接入页签,在接入列表上方,单击默认SSL/TLS设置。
在默认SSL/TLS设置对话框,设置WAF中默认TLS协议版本,完成如下配置后,单击确定。
配置项
说明
HTTPS证书上传方式
上传SSL证书。具体操作与域名证书上传方式相同,请参见上传证书。
TLS协议版本
选择要启用的TLS协议版本。可选项:
支持TLS 1.0及以上版本,兼容性最高,安全性较低(默认)
支持TLS 1.1及以上版本,兼容性较好,安全性较好
支持TLS 1.2及以上版本,兼容性较好,安全性最高
如果要启用TLS 1.3协议,选中开启支持TLS1.3。
HTTPS加密套件
选择要启用的加密套件。可选项:
全部加密套件,兼容性较高,安全性较低(默认)
协议版本的自定义加密套件,请谨慎选择,避免影响业务
关于支持自定义的加密套件,请参见WAF支持的加密套件。
更多内容,请参见添加域名。
SLB 负载均衡
操作步骤
性能保障型负载均衡实例在创建和配置HTTPS监听时,支持选择TLS安全策略。因此您可以在添加或者配置HTTPS监听时,在SSL证书引导页,单击高级配置后面的修改,在展开项中选择TLS安全策略。下面以传统型负载均衡CLB为例指导您如何设置TLS协议版本。
负载均衡SLB产品家族包括应用型负载均衡ALB(Application Load Balancer)、网络型负载均衡NLB(Network Load Balancer )和传统型负载均衡CLB(Classic Load Balancer),您可根据您的实际需求选择合适的负载均衡产品。
在顶部菜单栏处,选择实例所属的地域。
在实例管理页面,找到目标实例:
在操作列单击监听配置向导。
单击实例ID,在实例详情页选择监听页签,单击添加监听。
在协议&监听引导页,请将配置项中的选择监听协议选择为HTTPS选项。完成其他参数配置后单击下一步。如何配置其他参数,请参见添加HTTPS监听。
在SSL证书配置向导,选择已上传的服务器证书,或者在选择服务器证书时单击新建服务器证书上传一个服务器证书。您也可以购买证书。 证书相关信息,请参见创建证书。
单击高级配置后面的修改,选择TLS安全策略。
说明仅性能保障型实例支持选择使用的TLS安全策略。
TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件,具体说明,请参见TLS安全策略。
完成后续其他配置向导页面的配置后,单击提交。其他配置向导的详细操作,请参见为CLB实例添加HTTPS监听。
更多内容,请参见添加HTTPS监听。
CDN
操作步骤
执行操作前,请您确保已成功配置HTTPS证书,操作方法请参见配置HTTPS证书。
默认开启TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。
登录CDN控制台。
在左侧导航栏,单击域名管理。
在域名管理页面,找到目标域名,单击操作列的管理。
在指定域名的左侧导航栏,单击HTTPS配置。
在TLS加密套件与协议版本配置区域,根据需要选择加密套件和开启对应的TLS版本。
支持如下加密套件,请根据需求选择:
全部加密算法套件(默认):安全性较低,兼容性较高,支持的加密算法请见CDN默认支持的TLS加密算法DCDN默认支持的TLS加密算法。
强加密算法套件:安全性较高,兼容性较低,支持的加密算法:
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-ARIA256-GCM-SHA384
ECDHE-ARIA256-GCM-SHA384
ECDHE-ECDSA-ARIA128-GCM-SHA256
ECDHE-ARIA128-GCM-SHA256
自定义加密算法套件:请根据需要选择加密套件。
TLS协议版本说明请参见背景信息。
更多内容,请参见配置TLS版本与加密套件。
DCDN
操作步骤
执行操作前,请您确保已成功配置HTTPS证书,操作方法请参见配置HTTPS证书。
默认开启TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。
登录DCDN控制台。
在左侧导航栏,单击域名管理。
在域名管理页面,单击目标域名对应的配置。
在指定域名的左侧导航栏,单击HTTPS配置。
在TLS加密套件与协议版本配置区域,根据需要选择加密套件和开启对应的TLS版本。
支持如下加密套件,请根据需求选择:
全部加密算法套件(默认):安全性较低,兼容性较高,支持的加密算法请见CDN默认支持的TLS加密算法DCDN默认支持的TLS加密算法。
强加密算法套件:安全性较高,兼容性较低,支持的加密算法:
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-ARIA256-GCM-SHA384
ECDHE-ARIA256-GCM-SHA384
ECDHE-ECDSA-ARIA128-GCM-SHA256
ECDHE-ARIA128-GCM-SHA256
自定义加密算法套件:请根据需要选择加密套件。
更多内容,请参见配置TLS版本控制。
配置过程中如有疑问,请咨询对应产品的商务经理。