全部產品
Search
文件中心

Server Load Balancer:TLS安全性原則

更新時間:Jun 19, 2024

使用者在阿里雲上部署的網站或應用程式對互連網提供服務時,通常會配置HTTPS加密以確保資料的安全傳輸。針對HTTPS情境,ALB預置了部分常用的TLS安全性原則以滿足加密需求,您可根據您的安全需求選擇合適的TLS安全性原則,或者配置自訂TLS安全性原則,從而保證您業務的安全性。

系統預設策略

系統預設策略有哪些

TLS安全性原則包含了可選的TLS協議版本和配套的密碼編譯演算法套件。TLS協議版本越高,加密通訊的安全性越高,但是相較於低版本TLS協議,高版本TLS協議對瀏覽器的相容性較差。

安全性原則

支援的TLS協議版本

支援的密碼編譯演算法套件

tls_cipher_policy_1_0

  • TLSv1.0

  • TLSv1.1

  • TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

tls_cipher_policy_1_1

  • TLSv1.1

  • TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

tls_cipher_policy_1_2

TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

tls_cipher_policy_1_2_strict

TLSv1.2

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

tls_cipher_policy_1_2_strict_with_1_3

  • TLSv1.2

  • TLSv1.3

  • TLS_AES_128_GCM_SHA256

  • TLS_AES_256_GCM_SHA384

  • TLS_CHACHA20_POLY1305_SHA256

  • TLS_AES_128_CCM_SHA256

  • TLS_AES_128_CCM_8_SHA256

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

系統預設策略差異對比

下表中,✔表示支援,-表示不支援。

安全性原則

tls_cipher_policy_1_0

tls_cipher_policy_1_1

tls_cipher_policy_1_2

tls_cipher_policy_1_2_strict

tls_cipher_policy_1_2_strict_with_1_3

TLS

v1.0

-

-

-

-

v1.1

-

-

-

v1.2

v1.3

-

-

-

-

CIPHER

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES256-SHA384

AES128-GCM-SHA256

-

-

AES256-GCM-SHA384

-

-

AES128-SHA256

-

-

AES256-SHA256

-

-

ECDHE-ECDSA-AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES128-SHA

ECDHE-RSA-AES256-SHA

AES128-SHA

-

-

AES256-SHA

-

-

DES-CBC3-SHA

-

-

TLS_AES_128_GCM_SHA256

-

-

-

-

TLS_AES_256_GCM_SHA384

-

-

-

-

TLS_CHACHA20_POLY1305_SHA256

-

-

-

-

TLS_AES_128_CCM_SHA256

-

-

-

-

TLS_AES_128_CCM_8_SHA256

-

-

-

-

自訂策略

什麼時候使用自訂策略

ALB預置了部分常用的TLS安全性原則以滿足通用需求,但當您有特定的安全或合規需求時,例如需要僅支援特定版本的TLS協議、禁用某些密碼編譯演算法套件等,您可在ALB中自訂TLS安全性原則並配置到監聽中,從而進一步提升業務的安全性。

如何配置自訂策略

完成以下操作,建立自訂策略。

  1. 登入應用型負載平衡ALB控制台

  2. 在左側導覽列,選擇應用型負載均衡ALB > TLS安全性原則

  3. TLS安全性原則頁面,單擊自訂策略頁簽下的建立自訂策略

  4. 建立TLS安全性原則對話方塊中,完成以下參數配置(本文僅給出強相關配置參數資訊,其他參數可保持預設值或根據實際情況修改)。配置完成後單擊建立

    配置

    說明

    名稱

    輸入自訂策略名稱稱。

    選擇最低版本

    選擇最低TLS安全性原則版本:

    • TLS 1.0及以上

    • TLS 1.1及以上

    • TLS 1.2及以上

    啟用TLS 1.3版本

    選擇是否啟用TLS 1.3版本。

    重要

    如果啟用TLS 1.3版本,請至少選擇一個TLS 1.3的密碼編譯演算法套件,否則可能無法成功建立串連。

    選擇密碼編譯演算法套件

    選擇TLS版本支援的密碼編譯演算法套件。

  5. 自訂策略建立完成後,需要在建立HTTPS監聽時的配置SSL認證步驟使用,具體細節可參考添加HTTPS監聽

相關文檔