阿里云全站加速提供TLS版本控制功能,您可以根據不同域名的需求,靈活地配置TLS協議版本,低版本的TLS協議將提供對老版本瀏覽器的支持,但是協議的安全性相對更差一些,高版本的TLS協議將提供更高的安全性,但是對老版本瀏覽器的兼容性相對差一些。通過本文,您可以了解TLS的概念、使用場景和版本配置方法。
背景信息
TLS(Transport Layer Security)即安全傳輸層協議,在兩個通信應用程序之間提供保密性和數據完整性,最典型的應用就是HTTPS。HTTPS即HTTP
over TLS,就是更安全的HTTP,運行在HTTP層之下,TCP層之上,為HTTP層提供數據加解密服務。
| 協議 | 說明 | 支持的主流瀏覽器 |
|---|---|---|
| TLSv1.0 | RFC2246,1999年發布,基于SSLv3.0,該版本易受各種攻擊(如BEAST和POODLE),除此之外,支持較弱加密,對當今網絡連接的安全已失去應有的保護效力。不符合PCI DSS合規判定標準。 |
|
| TLSv1.1 | RFC4346,2006年發布,修復TLSv1.0若干漏洞。 |
|
| TLSv1.2 | RFC5246,2008年發布,目前廣泛使用的版本。 |
|
| TLSv1.3 | RFC8446,2018年發布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密鑰交換算法(更安全)。 |
|
操作步驟
執行操作前,請您確保已成功配置HTTPS證書,操作方法請參見配置HTTPS證書。
說明 默認開啟TLSv1.0、TLSv1.1和TLSv1.2版本。
- 在TLS加密套件與協議版本配置區域,根據所需開啟或關閉對應的TLS版本。
推薦配置
| 場景 | 配置 |
|---|---|
| 兼容老客戶同時對安全協議沒那么高要求。 | 開啟TLSv1.0、TLSv1.1和TLSv1.2版本。 |
| 對瀏覽器安全協議要求非常高(犧牲一部分用戶體驗換取更安全的協議)。 | 僅開啟TLSv1.2版本。 |
| 嘗鮮新技術 | 開啟TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。 |