DDoS高防支援TLS安全性原則自訂功能,您可以根據實際業務需要,為已接入DDoS高防防護的網站業務設定合適的TLS協議版本、密碼編譯演算法套件以及國密相關配置。本文介紹如何自訂TLS安全性原則。
預設支援的TLS協議版本
DDoS高防(中國內地)支援上傳國際標準認證和國密標準認證,DDoS高防(非中國內地)僅支援上傳國際標準認證。上傳認證後接入執行個體防護的網站業務預設支援的TLS協議版本如下:
DDoS高防(中國內地):國際標準認證預設支援TLS 1.0、TLS 1.1和TLS 1.2版本,國密標準認證預設支援NTLS 1.1版本。
DDoS高防(非中國內地):國際標準認證預設支援TLS 1.1和TLS 1.2版本。
支援設定的TLS協議版本
如果預設配置不能滿足您的業務需求,您可以手動修改TLS協議版本及對應的加密套件,DDoS高防支援設定的TLS協議版本如下表所示。關於TLS版本對應的加密套件,請參見操作步驟。
DDoS高防(中國內地)
功能套餐版本 | 國際標準認證 | 國密標準認證 |
標準功能 |
說明 如果您需要使用TLS 1.3版本或自訂加密套件,請將功能套餐升級至增強功能。具體操作,請參見升級執行個體。 | 暫不支援修改TLS協議版本及加密套件。 |
增強功能 |
說明 如果您需要使用TLS 1.3版本,需要單獨設定開啟支援TLS1.3開關。具體操作,請參見操作步驟。 |
DDoS高防(非中國內地)
功能套餐版本 | 國際標準認證 |
標準功能 | 暫不支援自訂TLS安全性原則。 請將功能套餐升級至增強功能,然後再自訂TLS安全性原則。具體操作,請參見升級執行個體。 |
增強功能 |
說明 如果您需要使用TLS 1.3版本,需要單獨設定開啟支援TLS1.3開關。具體操作,請參見操作步驟。 |
使用情境舉例
例如,您購買了DDoS高防(中國內地)增強功能執行個體,如果您的業務需要通過PCI DSS 3.2認證,希望禁用TLS 1.0協議,您可以在TLS安全性原則配置中修改HTTPS認證TLS版本為支援TLS1.1及以上版本,相容性較好,安全性較好。而您的另一個業務的訪問終端需要支援TLS 1.3協議,您可以在TLS安全性原則配置中開啟開啟支援TLS1.3開關。
前提條件
操作步驟
登入DDoS高防控制台。
在頂部功能表列左上方處,選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇
。如果您的執行個體是DDoS高防(中國內地)執行個體,按照以下操作配置TLS安全性原則。
定位到要操作的網域名稱,單擊認證狀態列下的TLS安全性原則。
在TLS安全性原則配置對話方塊,配置相關資訊後單擊確定。
配置項
說明
HTTPS認證TLS版本
選擇國際標準HTTPS認證支援的TLS協議版本。可選項:
標準功能:
支援TLS1.0及以上版本,相容性最好,安全性較低(預設):支援TLS 1.0、TLS 1.1和TLS 1.2。
支援TLS1.2及以上版本,相容性較好,安全性很高:支援TLS 1.2。
增強功能:
支援TLS1.0及以上版本,相容性最好,安全性較低(預設):支援TLS 1.0、TLS 1.1和TLS 1.2。
支援TLS1.1及以上版本,相容性較好,安全性較好:支援TLS 1.1和TLS 1.2。
支援TLS1.2及以上版本,相容性較好,安全性很高:支援TLS 1.2。
您也可以根據需要選擇開啟支援TLS1.3。
HTTPS認證加密套件
選擇國際標準HTTPS認證支援的加密套件。標準功能和增強功能具體可選哪些加密套件請參見控制台,此處羅列兩個功能套餐中所有的可選項:
說明您可以將游標放置在某個加密套件選項上的表徵圖,查看該選項包含的加密套件。
開啟國密
國密標準認證上傳成功後,才支援設定本開關,開關預設關閉。
設定DDoS高防(中國內地)是否支援處理安裝國密標準認證的用戶端發來的請求。
通過驗證,DDoS高防(中國內地)支援處理360瀏覽器和紅蓮花瀏覽器發來的國密請求。
開啟:支援處理
關閉:不支援處理
關閉開啟國密開關前,需要先關閉僅支援國密用戶端訪問。
僅支援國密用戶端訪問
設定DDoS高防(中國內地)是否僅支援處理安裝國密標準認證的用戶端發來的請求。國密標準認證上傳成功後,預設關閉。
開啟:僅支援處理安裝國密標準認證的用戶端發來的請求。
關閉:支援處理安裝國密標準認證的用戶端,以及安裝國際標準認證的用戶端發來的請求。
開啟開啟國密開關,才支援開啟僅支援國密用戶端訪問。
國密HTTPS加密套件
國密標準認證上傳成功後,預設支援啟用如下加密套件,暫不支援修改。
ECC-SM2-SM4-CBC-SM3
ECC-SM2-SM4-GCM-SM3
ECDHE-SM2-SM4-CBC-SM3
ECDHE-SM2-SM4-GCM-SM3
如果您的執行個體是DDoS高防(非中國內地)執行個體,按照以下操作配置TLS安全性原則。
說明DDoS高防(非中國內地)僅增強功能支援自訂TLS安全性原則。
定位到要操作的網域名稱,單擊認證狀態列下的TLS安全性原則。
在TLS安全性原則配置對話方塊,配置相關資訊後單擊確定。
配置項
說明
HTTPS認證TLS版本
選擇國際標準HTTPS認證支援的TLS協議版本。可選項:
支援TLS1.0及以上版本,相容性最好,安全性較低(預設):支援TLS 1.0、TLS 1.1和TLS 1.2。
支援TLS1.1及以上版本,相容性較好,安全性較好:支援TLS 1.1和TLS 1.2。
支援TLS1.2及以上版本,相容性較好,安全性很高:支援TLS 1.2。
您也可以根據需要選擇開啟支援TLS1.3。
HTTPS認證加密套件
選擇國際標準HTTPS認證支援的加密套件。可選項:
說明您可以將游標放置在某個加密套件選項上的表徵圖,查看該選項包含的加密套件。
執行結果
為網站業務修改TLS安全性原則後,DDoS高防執行個體在處理網站網域名稱的請求流量時,會採用已配置的TLS協議版本、加密套件及國密相關配置。當請求不滿足條件時將被丟棄。