如何设置证书的TLS协议版本?

TLS协议版本包括TLS v1.0(已禁用)、TLS v1.1、TLS v1.2TLS v1.3。TLS协议版本越高,HTTPS通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。您可以根据业务需要,在安装证书的Web服务器或阿里云产品上设置证书的TLS协议版本。

证书部署在非阿里云产品的Web服务器

Web服务器的证书配置文件中,根据实际需求调整ssl_protocols参数。例如,如果您的环境仅支持TLS v1.1TLS v1.2,则应将ssl_protocols参数配置为TLSv1.1 TLSv1.2。若您还需要启用对TLS v1.3的支持,请在此基础上添加TLSv1.3,即将ssl_protocols参数配置为TLSv1.1 TLSv1.2 TLSv1.3

下面以 Nginx 为例,介绍如何在 Web 服务器中修改 TLS协议版本。

步骤一:打开Nginx配置文件

您可以使用如下命令打开Nginx的配置文件进行编辑。通常这个配置文件位于/etc/nginx/nginx.conf/etc/nginx/conf.d/目录下的某个.conf文件中。

sudo nano /etc/nginx/nginx.conf

或者如果您有单独的站点配置文件,可能是这样的路径:

sudo nano /etc/nginx/sites-available/default

步骤二:修改server块中的SSL设置

找到与HTTPS相关的server块并添加或修改ssl_protocols行来指定支持的TLS协议版本。如下的配置修改,以启用TLS 1.2 和 TLS 1.3版本为例。请确保您的客户端支持已配置的TLS协议版本,否则可能会遇到连接失败的问题。

   server {
       listen 443 ssl;
       server_name yourdomain.com;

       # SSL证书和密钥路径
       ssl_certificate /path/to/your_certificate.crt;
       ssl_certificate_key /path/to/your_private.key;

       # 设置支持的SSL/TLS协议版本
       ssl_protocols TLSv1.2 TLSv1.3;

       # 可选:设置更安全的加密套件
       ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
       
       location / {
           root /var/www/html;
           index index.html index.htm;
       }
   }

步骤三:检查配置并重启Nginx

保存更改后,检查Nginx配置是否正确无误:

sudo nginx -t

如果配置文件没有问题,您会看到类似于下面的输出信息:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

如果有任何配置上的错误,Nginx将会指出具体在哪个文件、哪一行出现了问题并给出错误详情,您可以据此进行修正。

如果测试成功,您需要执行以下命令来重启Nginx服务使配置生效:

sudo systemctl reload nginx
# 或者
sudo service nginx restart

这样就完成了对Nginx服务器TLS协议版本的修改。

说明

随着时间的推移,可能会出现新的安全标准,同时旧的标准也可能不再被推荐使用,因此,定期审查和更新加密标准,对保持网站安全而言至关重要。

证书部署在阿里云产品

如果您的证书部署在以下阿里云产品,请根据对应的操作步骤设置证书的TLS协议版本。需要注意的是,此处内容为简要操作步骤,完整内容请点击下方对应的文档链接查看详情。

DDoS高防

操作步骤

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,根据DDoS高防产品选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 域名接入

  4. 定位到要操作的域名,单击证书状态列下的TLS安全策略

  5. TLS安全策略配置对话框,配置HTTPS证书TLS版本等相关信息后单击确定。其他配置信息的填写,请参见自定义TLS安全策略

    地域

    国际标准HTTPS证书支持的TLS协议版本可选项

    DDoS高防(中国内地)

    • 标准功能:

      • 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1TLS 1.2。

      • 支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。

    • 增强功能:

      • 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1TLS 1.2。

      • 支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1TLS 1.2。

      • 支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。

      您也可以根据需要选择开启支持TLS1.3

    DDoS高防(非中国内地)

    • 支持TLS1.0及以上版本,兼容性最好,安全性较低(默认):支持TLS 1.0、TLS 1.1TLS 1.2。

    • 支持TLS1.1及以上版本,兼容性较好,安全性较好:支持TLS 1.1TLS 1.2。

    • 支持TLS1.2及以上版本,兼容性较好,安全性很高:支持TLS 1.2。

    您也可以根据需要选择开启支持TLS1.3

更多内容,请参见自定义TLS安全策略。 

Web应用防火墙

操作步骤

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,单击接入管理

  3. CNAME接入页签,在接入列表上方,单击默认SSL/TLS设置

    image

  4. 默认SSL/TLS设置对话框,设置WAF中默认TLS协议版本,完成如下配置后,单击确定

    配置项

    说明

    HTTPS证书上传方式

    上传SSL证书。具体操作与域名证书上传方式相同,请参见上传证书

    TLS协议版本

    选择要启用的TLS协议版本。可选项:

    • 支持TLS 1.0及以上版本,兼容性最高,安全性较低(默认)

    • 支持TLS 1.1及以上版本,兼容性较好,安全性较好

    • 支持TLS 1.2及以上版本,兼容性较好,安全性最高

    如果要启用TLS 1.3协议,选中开启支持TLS1.3

    HTTPS加密套件

    选择要启用的加密套件。可选项:

    • 全部加密套件,兼容性较高,安全性较低(默认)

    • 协议版本的自定义加密套件,请谨慎选择,避免影响业务

      关于支持自定义的加密套件,请参见WAF支持的加密套件

更多内容,请参见添加域名

SLB 负载均衡

操作步骤

性能保障型负载均衡实例在创建和配置HTTPS监听时,支持选择TLS安全策略。因此您可以在添加或者配置HTTPS监听时,在SSL证书引导页,单击高级配置后面的修改,在展开项中选择TLS安全策略。下面以传统型负载均衡CLB为例指导您如何设置TLS协议版本。

说明

负载均衡SLB产品家族包括应用型负载均衡ALB(Application Load Balancer)、网络型负载均衡NLB(Network Load Balancer )和传统型负载均衡CLB(Classic Load Balancer),您可根据您的实际需求选择合适的负载均衡产品。

  1. 登录传统型负载均衡CLB控制台

  2. 在顶部菜单栏处,选择实例所属的地域。

  3. 实例管理页面,找到目标实例:

    • 操作列单击监听配置向导

    • 单击实例ID,在实例详情页选择监听页签,单击添加监听

  4. 协议&监听引导页,请将配置项中的选择监听协议选择为HTTPS选项。完成其他参数配置后单击下一步。如何配置其他参数,请参见添加HTTPS监听

  5. SSL证书配置向导,选择已上传的服务器证书,或者在选择服务器证书时单击新建服务器证书上传一个服务器证书。您也可以购买证书。 证书相关信息,请参见创建证书

  6. 单击高级配置后面的修改,选择TLS安全策略

    说明
    • 仅性能保障型实例支持选择使用的TLS安全策略。

    • TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件,具体说明,请参见TLS安全策略

  7. 完成后续其他配置向导页面的配置后,单击提交。其他配置向导的详细操作,请参见CLB实例添加HTTPS监听

更多内容,请参见添加HTTPS监听

CDN

操作步骤

执行操作前,请您确保已成功配置HTTPS证书,操作方法请参见配置HTTPS证书

说明

默认开启TLSv1.0、TLSv1.1、TLSv1.2TLSv1.3版本。

  1. 登录CDN控制台

  2. 在左侧导航栏,单击域名管理

  3. 域名管理页面,找到目标域名,单击操作列的管理

  4. 在指定域名的左侧导航栏,单击HTTPS配置

  5. TLS加密套件与协议版本配置区域,根据需要选择加密套件和开启对应的TLS版本。

    TLS版本控制

    支持如下加密套件,请根据需求选择:

    • 全部加密算法套件(默认):安全性较低,兼容性较高,支持的加密算法请见CDN默认支持的TLS加密算法DCDN默认支持的TLS加密算法

    • 强加密算法套件:安全性较高,兼容性较低,支持的加密算法:

      • TLS_AES_256_GCM_SHA384

      • TLS_AES_128_GCM_SHA256

      • TLS_CHACHA20_POLY1305_SHA256

      • ECDHE-ECDSA-CHACHA20-POLY1305

      • ECDHE-RSA-CHACHA20-POLY1305

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES128-CCM8

      • ECDHE-ECDSA-AES128-CCM

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES256-GCM-SHA384

      • ECDHE-ECDSA-AES256-CCM8

      • ECDHE-ECDSA-AES256-CCM

      • ECDHE-ECDSA-ARIA256-GCM-SHA384

      • ECDHE-ARIA256-GCM-SHA384

      • ECDHE-ECDSA-ARIA128-GCM-SHA256

      • ECDHE-ARIA128-GCM-SHA256

    • 自定义加密算法套件:请根据需要选择加密套件。

    TLS协议版本说明请参见背景信息

更多内容,请参见配置TLS版本与加密套件

DCDN

操作步骤

执行操作前,请您确保已成功配置HTTPS证书,操作方法请参见配置HTTPS证书

说明

默认开启TLSv1.0、TLSv1.1、TLSv1.2TLSv1.3版本。

  1. 登录DCDN控制台

  2. 在左侧导航栏,单击域名管理

  3. 域名管理页面,单击目标域名对应的配置

  4. 在指定域名的左侧导航栏,单击HTTPS配置

  5. TLS加密套件与协议版本配置区域,根据需要选择加密套件和开启对应的TLS版本。

    TLS版本控制

    支持如下加密套件,请根据需求选择:

    • 全部加密算法套件(默认):安全性较低,兼容性较高,支持的加密算法请见CDN默认支持的TLS加密算法DCDN默认支持的TLS加密算法

    • 强加密算法套件:安全性较高,兼容性较低,支持的加密算法:

      • TLS_AES_256_GCM_SHA384

      • TLS_AES_128_GCM_SHA256

      • TLS_CHACHA20_POLY1305_SHA256

      • ECDHE-ECDSA-CHACHA20-POLY1305

      • ECDHE-RSA-CHACHA20-POLY1305

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES128-CCM8

      • ECDHE-ECDSA-AES128-CCM

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES256-GCM-SHA384

      • ECDHE-ECDSA-AES256-CCM8

      • ECDHE-ECDSA-AES256-CCM

      • ECDHE-ECDSA-ARIA256-GCM-SHA384

      • ECDHE-ARIA256-GCM-SHA384

      • ECDHE-ECDSA-ARIA128-GCM-SHA256

      • ECDHE-ARIA128-GCM-SHA256

    • 自定义加密算法套件:请根据需要选择加密套件。

更多内容,请参见配置TLS版本控制

说明

配置过程中如有疑问,请咨询对应产品的商务经理。