功能介绍
TLS(Transport Layer Security)即安全传输层协议,及其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS,HTTPS即HTTP over TLS,就是更安全的HTTP,运行在HTTP层之下,TCP层之上,为HTTP层提供数据加解密服务。
天翼云全站加速产品提供TLS协议版本控制功能,您可以按需对不同加速域名配置不同的TLS协议版本,低版本的TLS协议将提供对老版本浏览器的支持,但是协议的安全性相对更差一些,高版本的TLS协议将提供更高的安全性,但是对老版本浏览器的兼容性相对差一些。
天翼云全站加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3,不同TLS协议版本对浏览器的支持如下:
| 协议 | 说明 | 支持的主流浏览器 |
|---|---|---|
| TLSv1.0 | RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。 | IE6+ Chrome 1+ Firefox 2+ |
| TLSv1.1 | RFC4346,2006年发布,修复TLSv1.0若干漏洞。 | IE 11+ Chrome 22+ Firefox 24+ Safri 7+ |
| TLSv1.2 | RFC5246,2008年发布,目前广泛使用的版本。 | IE 11+ Chrome 30+ Firefox 27+ Safri 7+ |
| TLSv1.3 | RFC8446,2018年发布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密钥交换算法(更安全)。 | Chrome 70+ Firefox 63+ |
注意事项
- 配置TLS协议版本前,请确保已成功配置HTTPS证书,操作方法详情请见:新增证书。
- 默认开启 TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3。
- 不可关闭全部版本,如全部关闭将导致https访问失败。
配置说明
- 登录客户控制台。
- 单击左侧导航栏【域名管理】-【域名列表】。
- 在【域名列表】页面,找到目标域名,单击【操作】列的【编辑】
- 单击右侧【请求协议】,勾选【请求协议】中的【HTTPS】。
- 单击右侧【HTTPS配置】,选择域名对应的【证书】。如果已经在证书管理上传证书,可直接选择对应域名证书。如果还未上传证书,可单击【点击上传】,添加自有证书。添加完毕后,再选择对应证书。
- 配置【TLS版本】,配置完毕单击【保存】。
配置建议
| 使用场景 | 推荐配置 |
|---|---|
| 需兼顾老旧客户端并且对安全等级无较高要求。 | 默认配置即可,即开启TLSv1、TLSv1.1、TLSv1.2、TLSv1.3版本。 |
| 对安全等级要求较高,可牺牲少部分老旧客户端用户访问体验。 | 仅开启TLSv1.2、TLSv1.3版本。 |
