当客户端对CDN节点发起请求时,节点响应并启动TLS握手,使用设置的TLS版本以确保通信安全。若客户端不支持该版本,连接将无法建立。您可按需调整TLS版本可平衡老旧浏览器兼容性与安全性:较低TLS版本扩大支持范围,但安全强度减弱;较高TLS版本则增强安全,但可能限制旧版浏览器访问。
背景信息
TLS(Transport Layer Security)即安全传输层协议,在两个通信应用程序之间提供保密性和数据完整性,最典型的应用就是HTTPS。HTTPS即HTTP over TLS,就是更安全的HTTP,运行在HTTP层之下,TCP层之上,为HTTP层提供数据加解密服务。
协议 | 说明 | 支持的主流浏览器 |
TLSv1.0 | RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。 |
|
TLSv1.1 | RFC4346,2006年发布,修复TLSv1.0若干漏洞。 |
|
TLSv1.2 | RFC5246,2008年发布,目前广泛使用的版本。 |
|
TLSv1.3 | RFC8446,2018年发布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密钥交换算法(更安全)。 |
|
操作步骤
执行操作前,请您确保已成功配置HTTPS证书,操作方法请参见配置HTTPS证书。
默认开启TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。
登录CDN控制台。
在左侧导航栏,单击域名管理。
在域名管理页面,找到目标域名,单击操作列的管理。
在指定域名的左侧导航栏,单击HTTPS配置。
在TLS加密套件与协议版本配置区域,根据需要选择加密套件和开启对应的TLS版本。
支持如下加密套件,请根据需求选择:
全部加密算法套件(默认):安全性较低,兼容性较高,支持的加密算法请见CDN默认支持的TLS加密算法。
强加密算法套件:安全性较高,兼容性较低,支持的加密算法:
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-ARIA256-GCM-SHA384
ECDHE-ARIA256-GCM-SHA384
ECDHE-ECDSA-ARIA128-GCM-SHA256
ECDHE-ARIA128-GCM-SHA256
自定义加密算法套件:请根据需要选择加密套件。
TLS协议版本说明请参见背景信息。