TLS安全策略
用戶在阿里云上部署的網(wǎng)站或應(yīng)用程序?qū)ヂ?lián)網(wǎng)提供服務(wù)時(shí),通常會配置HTTPS加密以確保數(shù)據(jù)的安全傳輸。針對HTTPS場景,CLB支持部分常用的TLS安全策略以滿足加密需求,您可根據(jù)您的安全需求選擇合適的TLS安全策略,從而保證您業(yè)務(wù)的安全性。
使用限制
性能保障型負(fù)載均衡實(shí)例在創(chuàng)建和配置HTTPS監(jiān)聽時(shí),支持選擇TLS安全策略。
如何選擇TLS安全策略
您可以在添加或者配置HTTPS監(jiān)聽時(shí),在SSL證書頁簽,單擊高級配置后面的修改,在展開項(xiàng)中選擇TLS安全策略。具體操作,請參見添加HTTPS監(jiān)聽。
TLS安全策略有哪些
TLS安全策略包含了可選的TLS協(xié)議版本和配套的加密算法套件。TLS協(xié)議版本越高,加密通信的安全性越高,但是相較于低版本TLS協(xié)議,高版本TLS協(xié)議對瀏覽器的兼容性較差。
安全策略 | 支持TLS協(xié)議版本 | 支持的加密算法套件 |
tls_cipher_policy_1_0 |
| ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA |
tls_cipher_policy_1_1 |
| ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA |
tls_cipher_policy_1_2 | TLSv1.2 | ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA |
tls_cipher_policy_1_2_strict | TLSv1.2 | ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA |
tls_cipher_policy_1_2_strict_with_1_3 |
| TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_AES_128_CCM_SHA256、TLS_AES_128_CCM_8_SHA256、ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA |
TLS安全策略差異對比
下表中的?表示支持,-表示不支持。
安全策略 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ? | - | - | - | - |
v1.1 | ? | ? | - | - | - | |
v1.2 | ? | ? | ? | ? | ? | |
v1.3 | - | - | - | - | ? | |
CIPHER | ECDHE-RSA-AES128-GCM-SHA256 | ? | ? | ? | ? | ? |
ECDHE-RSA-AES256-GCM-SHA384 | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES128-SHA256 | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES256-SHA384 | ? | ? | ? | ? | ? | |
AES128-GCM-SHA256 | ? | ? | ? | - | - | |
AES256-GCM-SHA384 | ? | ? | ? | - | - | |
AES128-SHA256 | ? | ? | ? | - | - | |
AES256-SHA256 | ? | ? | ? | - | - | |
ECDHE-RSA-AES128-SHA | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES256-SHA | ? | ? | ? | ? | ? | |
AES128-SHA | ? | ? | ? | - | - | |
AES256-SHA | ? | ? | ? | - | - | |
DES-CBC3-SHA | ? | ? | ? | - | - | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ? | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ? | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ? | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ? | |
ECDHE-ECDSA-AES128-GCM-SHA256 | - | - | - | - | ? | |
ECDHE-ECDSA-AES256-GCM-SHA384 | - | - | - | - | ? | |
ECDHE-ECDSA-AES128-SHA256 | - | - | - | - | ? | |
ECDHE-ECDSA-AES256-SHA384 | - | - | - | - | ? | |
ECDHE-ECDSA-AES128-SHA | - | - | - | - | ? | |
ECDHE-ECDSA-AES256-SHA | - | - | - | - | ? | |
常見問題
CLB支持配置自定義TLS安全策略嗎?
CLB不支持自定義TLS安全策略。
負(fù)載均衡產(chǎn)品家族中ALB與NLB支持配置自定義TLS安全策略,如您有自定義TLS安全策略需求,建議您使用ALB與NLB。
負(fù)載均衡SLB產(chǎn)品家族介紹及ALB、NLB、CLB功能對比,您可參考負(fù)載均衡SLB產(chǎn)品家族介紹。
使用七層監(jiān)聽時(shí)您可使用ALB,ALB產(chǎn)品介紹可參考什么是應(yīng)用型負(fù)載均衡ALB,ALB的TLS安全策略介紹可參考TLS安全策略,ALB配置自定義TLS安全策略的產(chǎn)品教程可參考ALB通過自定義TLS安全策略提升網(wǎng)站安全等級。
使用四層監(jiān)聽時(shí)您可使用NLB,NLB產(chǎn)品介紹可參考什么是網(wǎng)絡(luò)型負(fù)載均衡NLB,NLB的TLS安全策略介紹可參考TLS安全策略。
相關(guān)文檔
CLB的HTTPS監(jiān)聽詳細(xì)配置步驟與注意事項(xiàng)可參考添加HTTPS監(jiān)聽,配置過程中如遇問題可參考七層監(jiān)聽(HTTPS或HTTP)FAQ定位解決。
CLB的更多HTTPS應(yīng)用場景配置教程,您可參考使用CLB部署HTTPS業(yè)務(wù)(單向認(rèn)證)、使用CLB部署HTTPS業(yè)務(wù)(雙向認(rèn)證)、將HTTP訪問重定向至HTTPS、單CLB實(shí)例配置多域名HTTPS網(wǎng)站。