當客戶端對CDN節點發起請求時,節點響應并啟動TLS握手,使用設置的TLS版本以確保通信安全。若客戶端不支持該版本,連接將無法建立。您可按需調整TLS版本可平衡老舊瀏覽器兼容性與安全性:較低TLS版本擴大支持范圍,但安全強度減弱;較高TLS版本則增強安全,但可能限制舊版瀏覽器訪問。
背景信息
TLS(Transport Layer Security)即安全傳輸層協議,在兩個通信應用程序之間提供保密性和數據完整性,最典型的應用就是HTTPS。HTTPS即HTTP over TLS,就是更安全的HTTP,運行在HTTP層之下,TCP層之上,為HTTP層提供數據加解密服務。
協議 | 說明 | 支持的主流瀏覽器 |
TLSv1.0 | RFC2246,1999年發布,基于SSLv3.0,該版本易受各種攻擊(如BEAST和POODLE),除此之外,支持較弱加密,對當今網絡連接的安全已失去應有的保護效力。不符合PCI DSS合規判定標準。 |
|
TLSv1.1 | RFC4346,2006年發布,修復TLSv1.0若干漏洞。 |
|
TLSv1.2 | RFC5246,2008年發布,目前廣泛使用的版本。 |
|
TLSv1.3 | RFC8446,2018年發布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密鑰交換算法(更安全)。 |
|
操作步驟
執行操作前,請您確保已成功配置HTTPS證書,操作方法請參見配置HTTPS證書。
默認開啟TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。
登錄CDN控制臺。
在左側導航欄,單擊域名管理。
在域名管理頁面,找到目標域名,單擊操作列的管理。
在指定域名的左側導航欄,單擊HTTPS配置。
在TLS加密套件與協議版本配置區域,根據需要選擇加密套件和開啟對應的TLS版本。
支持如下加密套件,請根據需求選擇:
全部加密算法套件(默認):安全性較低,兼容性較高,支持的加密算法請見CDN默認支持的TLS加密算法。
強加密算法套件:安全性較高,兼容性較低,支持的加密算法:
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-ARIA256-GCM-SHA384
ECDHE-ARIA256-GCM-SHA384
ECDHE-ECDSA-ARIA128-GCM-SHA256
ECDHE-ARIA128-GCM-SHA256
自定義加密算法套件:請根據需要選擇加密套件。
TLS協議版本說明請參見背景信息。