文档首页 > > 最佳实践> TLS协议最佳实践

TLS协议最佳实践

分享
更新时间: 2019/10/21 GMT+08:00

TLS协议,即传输层安全性协议(Transport Layer Security,TLS),是一种安全协议,目的是为了保障互联网通信的安全和数据完整性。截止目前,TLS按发行年份,分了4个版本,即1.0、1.1、1.2和1.3,1.0和1.1版本由于发布时间久远,安全性能已经不能满足通信协议的安全标准。华为云Web应用防火墙为了满足行业客户的安全需求,发布定制化的TLS版本控制功能。您可以根据不同域名的需求,在Web应用防火墙的控制台配置禁用低版本的TLS协议,做灵活的TLS版本支持配置,WAF还能通过AI、主动探测等技术识别针对HTTPS的攻击,消除潜在威胁,达到更高的安全防护要求。

背景信息

TLS1.0版本于1999年发行,业内已经广泛认识到该版本容易受到各种攻击(BEAST、POODLE等)。为了保障通信协议的安全,满足支付卡行业数据安全标准(PCI DSS), 支付卡行业安全标准委员会(PCI SSC)规定TLS1.0安全通信协议于2018年6月30日不再生效。火狐、Safari、Chrome、Edge等主流浏览器厂商也声明将于2020年全面停止支持TLS1.0和1.1。

防护场景

  • 如果客户源站安全性能要求很高,只允许TLS1.2以上的版本的协议访问,则在WAF中,配置的最低TLS版本为TLS v1.2,WAF将自动拦截TLS1.0和1.1版本协议的访问请求。
  • 如果客户源站安全性能要求一般,允许TLS1.1以上的版本的协议访问,则在WAF中,配置的最低TLS版本为TLS v1.1,WAF将自动拦截TLS1.0版本协议的访问请求。
  • 如果客户端APP只支持TLS1.0的版本,为了确保访问正常,在WAF中,配置的最低TLS版本为TLS v1.0,此时,所有的TLS协议都可以访问源站。

TLS1.0和1.1版本的协议由于发布时间久远,某些加密算法已经不安全了,如SHA1、RC4算法,很容易被黑客攻击;在性能上,TLS1.0和1.1已经无法满足呈几何级增长的数据传输加密,存在安全隐患,性能不佳。如果您的客户端APP只支持TLS1.0和1.1版本,建议您升级到TLS1.2以上的版本。

防护配置

  1. 登录华为云控制台。
  2. 单击页面上方的“服务列表”,选择安全 > Web应用防火墙,进入Web应用防火墙的控制界面。
  3. 将您的网站配置到Web应用防火墙并完成域名接入,具体步骤请参见添加防护域名
  4. 在左侧导航树中,单击“域名配置”,进入域名列表。
  5. 单击目标域名名称,进入基本信息页面。

    图1 基本信息页面

  6. “最低TLS版本”所在行,单击,选择允许访问源站的最低TLS版本。

    配置前,可以先通过“https://myssl.com/ssl.html”检测您的网站支持的TLS版本。

    图2 最低TLS版本
    • 默认为TLS v1.0版本,即允许TLS v1.0、TLS v1.1、TLS v1.2的网络协议都可以访问网站。
    • 选择TLS v1.1版本时,允许TLS v1.1、TLS v1.2的网络协议访问网站。
    • 选择TLS v1.2版本时,只允许TLS v1.2的网络协议访问网站。

验证效果

假如源站配置了允许访问的最低TLS版本为TLS v1.2。

则TLS v1.1及以下协议不能正常访问网站。可通过以下命令在本地验证是否配置成功:

openssl s_client -connect XX.XX.32.443 -servername "XX.XXX.com" -tls1_X

如果能返回证书相关信息,则表示允许该TLS版本的协议访问目标网站,反之则表示拦截了该版本的TLS协议的访问。

  • 验证TLS v1.1协议是否能访问目标网站,如图3所示。
    图3 验证TLS v1.1

    没有获取到证书信息,表示TLS v1.1协议不能访问目标网站,WAF成功拦截了TLS v1.1协议的请求。

  • 验证TLS v1.2协议是否能访问目标网站,如图4所示。
    图4 验证TLS v1.2

    获取到证书信息,表示TLS v1.2协议能正常访问目标网站。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区