使用者在阿里雲上部署的網站或應用程式對互連網提供服務時,通常會配置HTTPS加密以確保資料的安全傳輸。針對HTTPS情境,ALB預置了部分常用的TLS安全性原則以滿足加密需求,您可根據您的安全需求選擇合適的TLS安全性原則,或者配置自訂TLS安全性原則,從而保證您業務的安全性。
系統預設策略
系統預設策略有哪些
TLS安全性原則包含了可選的TLS協議版本和配套的密碼編譯演算法套件。TLS協議版本越高,加密通訊的安全性越高,但是相較於低版本TLS協議,高版本TLS協議對瀏覽器的相容性較差。
安全性原則 | 支援的TLS協議版本 | 支援的密碼編譯演算法套件 |
tls_cipher_policy_1_0 |
|
|
tls_cipher_policy_1_1 |
|
|
tls_cipher_policy_1_2 | TLSv1.2 |
|
tls_cipher_policy_1_2_strict | TLSv1.2 |
|
tls_cipher_policy_1_2_strict_with_1_3 |
|
|
系統預設策略差異對比
下表中,✔表示支援,-表示不支援。
安全性原則 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ✔ | - | - | - | - |
v1.1 | ✔ | ✔ | - | - | - | |
v1.2 | ✔ | ✔ | ✔ | ✔ | ✔ | |
v1.3 | - | - | - | - | ✔ | |
CIPHER | ECDHE-ECDSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-GCM-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-GCM-SHA384 | ✔ | ✔ | ✔ | - | - | |
AES128-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-SHA256 | ✔ | ✔ | ✔ | - | - | |
ECDHE-ECDSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-ECDSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-SHA | ✔ | ✔ | ✔ | - | - | |
AES256-SHA | ✔ | ✔ | ✔ | - | - | |
DES-CBC3-SHA | ✔ | ✔ | ✔ | - | - | |
TLS_AES_128_GCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ✔ | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ✔ |
自訂策略
什麼時候使用自訂策略
ALB預置了部分常用的TLS安全性原則以滿足通用需求,但當您有特定的安全或合規需求時,例如需要僅支援特定版本的TLS協議、禁用某些密碼編譯演算法套件等,您可在ALB中自訂TLS安全性原則並配置到監聽中,從而進一步提升業務的安全性。
如何配置自訂策略
完成以下操作,建立自訂策略。
在左側導覽列,選擇
。在TLS安全性原則頁面,單擊自訂策略頁簽下的建立自訂策略。
在建立TLS安全性原則對話方塊中,完成以下參數配置(本文僅給出強相關配置參數資訊,其他參數可保持預設值或根據實際情況修改)。配置完成後單擊建立。
配置
說明
名稱
輸入自訂策略名稱稱。
選擇最低版本
選擇最低TLS安全性原則版本:
TLS 1.0及以上
TLS 1.1及以上
TLS 1.2及以上
啟用TLS 1.3版本
選擇是否啟用TLS 1.3版本。
重要如果啟用TLS 1.3版本,請至少選擇一個TLS 1.3的密碼編譯演算法套件,否則可能無法成功建立串連。
選擇密碼編譯演算法套件
選擇TLS版本支援的密碼編譯演算法套件。
自訂策略建立完成後,需要在建立HTTPS監聽時的配置SSL認證步驟使用,具體細節可參考添加HTTPS監聽。
相關文檔
ALB的HTTPS監聽詳細配置步驟與注意事項可參考添加HTTPS監聽。
ALB配置自訂TLS安全性原則的產品教程可參考ALB通過自訂TLS安全性原則提升網站安全等級。
ALB的更多HTTPS應用情境配置教程,您可參考配置全鏈路HTTPS訪問實現加密通訊、單ALB執行個體配置多網域名稱HTTPS網站、使用ALB部署HTTPS業務(雙向認證)、使用ALB將HTTP訪問重新導向至HTTPS。