功能介绍
TLS(Transport Layer Security)即安全传输层协议,及其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS,HTTPS即HTTP over TLS,就是更安全的HTTP,运行在HTTP层之下,TCP层之上,为HTTP层提供数据加解密服务。
- 天翼云全站加速产品提供TLS协议版本控制功能,您可以按需对不同加速域名配置不同的TLS协议版本,低版本的TLS协议将提供对老版本浏览器的支持,但是协议的安全性相对更差一些,高版本的TLS协议将提供更高的安全性,但是对老版本浏览器的兼容性相对差一些。
- 天翼云全站加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3,不同TLS协议版本对浏览器的支持如下:
协议 说明 支持的主流服务器 TLSv1.3 RFC8446,2018年发布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密钥交换算法(更安全)。
Chrome 70+
Firefox 63+
TLSv1.2 RFC5246,2008年发布,目前广泛使用的版本。
IE 11+
Chrome 30+
Firefox 27+
Safri 7+
TLSv1.1 RFC4346,2006年发布,修复TLSv1.0若干漏洞。
IE 11+
Chrome 22+
Firefox 24+
Safri 7+
TLSv1.0 RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。
IE6+
Chrome 1+
Firefox 2+
注意事项
配置TLS协议版本前,请确保已成功配置HTTPS证书,操作方法请参见新增证书。
配置说明
- 登录客户控制台。
- 在【域名列表】页面,单击【编辑】目标域名。
- 单击【HTTPS配置】。
- 变更【Https开关】,从【停用】改为【启用】。
- 选择域名对应的【证书备注名】。如果已经在证书管理上传证书,可直接选择对应域名证书。如果还未上传证书,可单击【点击上传】,添加自有证书。添加完毕后,再选择对应证书。
- 配置【TLS版本】。
- 单击【提交保存】,完成配置。
说明点击启用【Https开关】后,才会弹出【Https证书上传】的配置项,这时就可以进行【TLS版本】的配置。
配置页面
配置建议
| 使用场景 | 推荐配置 |
|---|---|
| 需兼顾老旧客户端并且对安全等级无较高要求。 | 默认配置即可,即开启TLSv1、TLSv1.1、TLSv1.2、TLSv1.3版本。 |
| 对安全等级要求较高,可牺牲少部分老旧客户端用户访问体验。 | 仅开启TLSv1.2、TLSv1.3版本。 |
