使用者在阿里雲上部署的網站或應用程式對互連網提供服務時,通常會配置HTTPS加密以確保資料的安全傳輸。針對HTTPS情境,CLB支援部分常用的TLS安全性原則以滿足加密需求,您可根據您的安全需求選擇合適的TLS安全性原則,從而保證您業務的安全性。
使用限制
效能保障型Server Load Balancer執行個體在建立和配置HTTPS監聽時,支援選擇TLS安全性原則。
如何選擇TLS安全性原則
您可以在添加或者配置HTTPS監聽時,在SSL認證頁簽,單擊進階配置後面的修改,在展開項中選擇TLS安全性原則。具體操作,請參見添加HTTPS監聽。
TLS安全性原則有哪些
TLS安全性原則包含了可選的TLS協議版本和配套的密碼編譯演算法套件。TLS協議版本越高,加密通訊的安全性越高,但是相較於低版本TLS協議,高版本TLS協議對瀏覽器的相容性較差。
安全性原則 | 支援TLS協議版本 | 支援的密碼編譯演算法套件 |
tls_cipher_policy_1_0 |
| ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA |
tls_cipher_policy_1_1 |
| ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA |
tls_cipher_policy_1_2 | TLSv1.2 | ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA |
tls_cipher_policy_1_2_strict | TLSv1.2 | ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA |
tls_cipher_policy_1_2_strict_with_1_3 |
| TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_AES_128_CCM_SHA256、TLS_AES_128_CCM_8_SHA256、ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA |
TLS安全性原則差異對比
下表中的✔表示支援,-表示不支援。
安全性原則 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ✔ | - | - | - | - |
v1.1 | ✔ | ✔ | - | - | - | |
v1.2 | ✔ | ✔ | ✔ | ✔ | ✔ | |
v1.3 | - | - | - | - | ✔ | |
CIPHER | ECDHE-RSA-AES128-GCM-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ |
ECDHE-RSA-AES256-GCM-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES128-SHA256 | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA384 | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-GCM-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-GCM-SHA384 | ✔ | ✔ | ✔ | - | - | |
AES128-SHA256 | ✔ | ✔ | ✔ | - | - | |
AES256-SHA256 | ✔ | ✔ | ✔ | - | - | |
ECDHE-RSA-AES128-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
ECDHE-RSA-AES256-SHA | ✔ | ✔ | ✔ | ✔ | ✔ | |
AES128-SHA | ✔ | ✔ | ✔ | - | - | |
AES256-SHA | ✔ | ✔ | ✔ | - | - | |
DES-CBC3-SHA | ✔ | ✔ | ✔ | - | - | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ✔ | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ✔ | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ✔ | |
ECDHE-ECDSA-AES128-GCM-SHA256 | - | - | - | - | ✔ | |
ECDHE-ECDSA-AES256-GCM-SHA384 | - | - | - | - | ✔ | |
ECDHE-ECDSA-AES128-SHA256 | - | - | - | - | ✔ | |
ECDHE-ECDSA-AES256-SHA384 | - | - | - | - | ✔ | |
ECDHE-ECDSA-AES128-SHA | - | - | - | - | ✔ | |
ECDHE-ECDSA-AES256-SHA | - | - | - | - | ✔ | |
常見問題
CLB支援配置自訂TLS安全性原則嗎?
CLB不支援自訂TLS安全性原則。
負載平衡產品家族中ALB與NLB支援配置自訂TLS安全性原則,如您有自訂TLS安全性原則需求,建議您使用ALB與NLB。
Server Load Balancer產品家族介紹及ALB、NLB、CLB功能對比,您可參考Server Load Balancer產品家族介紹。
使用七層監聽時您可使用ALB,ALB產品介紹可參考什麼是應用型負載平衡ALB,ALB的TLS安全性原則介紹可參考TLS安全性原則,ALB配置自訂TLS安全性原則的產品教程可參考ALB通過自訂TLS安全性原則提升網站安全等級。
使用四層監聽時您可使用NLB,NLB產品介紹可參考什麼是網路型負載平衡NLB,NLB的TLS安全性原則介紹可參考TLS安全性原則。
相關文檔
CLB的HTTPS監聽詳細配置步驟與注意事項可參考添加HTTPS監聽,配置過程中如遇問題可參考CLB七層監聽FAQ定位解決。
CLB的更多HTTPS應用情境配置教程,您可參考使用CLB部署HTTPS業務(單向認證)、使用CLB部署HTTPS業務(雙向認證)、將HTTP訪問重新導向至HTTPS、單CLB執行個體配置多網域名稱HTTPS網站。