Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ Web Application Firewall/ Guía del usuario/ Gestión de nombres de dominio de sitios web/ Configuración de la comprobación de certificación PCI DSS/3DS y versión TLS

Actualización más reciente 2023-09-21 GMT+08:00

Ver PDF

Configuración de la comprobación de certificación PCI DSS/3DS y versión TLS

Transport Layer Security (TLS) proporciona confidencialidad y garantiza la integridad de los datos para los datos enviados entre aplicaciones a través de Internet. HTTPS es un protocolo de red construido basado en TLS y HTTP y se puede utilizar para la transmisión cifrada y la autenticación de identidad. Si selecciona Cloud mode o Dedicated mode para la implementación y establece Client Protocol en HTTPS, establecer la versión mínima de TLS y el conjunto de cifrado (un conjunto de múltiples algoritmos criptográficos) para su nombre de dominio para bloquear las solicitudes que utilizan una versión de TLS anterior a la configurada.

TLS v1.0 y el conjunto de cifrado 1 están configurados por defecto en WAF para la seguridad general. Para proteger mejor sus sitios web, establezca la versión mínima de TLS en una versión posterior y seleccione un conjunto de cifrado más segura.

WAF le permite habilitar las comprobaciones de certificación PCI DSS y PCI 3DS. Después de activar la comprobación de la certificación PCI DSS o PCI 3DS, la versión mínima de TLS se establece automáticamente en TLS v1.2 para cumplir con los requisitos de certificación PCI DSS y PCI 3DS. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas. PCI 3-Domain Secure (PCI 3DS) es un estándar de seguridad PCI Core.

Si ha habilitado proyectos de empresa, asegúrese de que tiene todos los permisos de operación para el proyecto en el que se encuentra la instancia WAF. A continuación, puede seleccionar el proyecto empresarial en la lista desplegable de Enterprise Project y configurar PCI DSS o PCI 3DS y TLS para los nombres de dominio.

Prerrequisitos

El modo de implementación de la instancia WAF configurada para su sitio web es Cloud mode o Dedicated mode.
Su sitio web utiliza HTTPS como protocolo de cliente.

Restricciones

Si Client Protocol para el sitio web que desea proteger está establecido en HTTP, TLS no es necesario y puede omitir este tema.
Actualmente, esta función no está disponible en CN Norte-Ulanqab1.

Escenarios de aplicación

De forma predeterminada, la versión mínima de TLS configurada para WAF es TLS v1.0. Para garantizar la seguridad del sitio web, configure la versión TLS adecuada para sus requisitos de servicio. Tabla 1 enumera las versiones mínimas recomendadas de TLS para diferentes escenarios.

**Tabla 1** Versiones mínimas recomendadas de TLS
Escenario	Versión mínima de TLS (recomendada)	Efecto de protección
Sitios web que manejan datos empresariales críticos, como sitios utilizados en banca, finanzas, valores y comercio electrónico.	TLS v1.2	WAF bloquea automáticamente las solicitudes de acceso a sitios web que utilizan TLS v1.0 o TLS v1.1.
Sitios web con requisitos básicos de seguridad, por ejemplo, sitios web para pequeñas y medianas empresas.	TLS v1.1	WAF bloquea automáticamente las solicitudes de acceso a sitios web que utilizan TLS v1.0.
Aplicaciones de cliente sin requisitos de seguridad especiales	TLS v1.0	Las solicitudes que utilicen cualquier protocolo TLS pueden acceder al sitio web.

El conjunto de cifrado recomendada en WAF es Cipher suite 1. Cipher suite 1 ofrece una buena combinación de compatibilidad con navegador y seguridad. Para obtener más información sobre cada conjunto de cifrado, consulte Tabla 2.

**Tabla 2** Descripción del conjunto de cifrado
Nombre del conjunto de cifrado	Algoritmos criptográficos compatibles	Descripción
Conjunto de cifrado por defecto	ECDHE-RSA-AES256-SHA384 AES256-SHA256 HIGH !MD5 !aNULL !eNULL !NULL !DH !EDH !AESGCM	Compatibilidad: Bueno. Una amplia gama de navegadores son compatibles. Seguridad: Promedio
Conjunto de cifrado 1	ECDHE-ECDSA-AES256-GCM-SHA384 HIGH !MEDIUM !LOW !aNULL !eNULL !DES !MD5 !PSK !kRSA !SRP !3DES !DSS !EXP !CAMELLIA @STRENGTH	Configuración recomendada. Compatibilidad: Bueno. Una amplia gama de navegadores son compatibles. Seguridad: Buena
Conjunto de cifrado 2	EECDH+AESGCM EDH+AESGCM	Compatibilidad: Promedio. Cumplimiento estricto de los requisitos de confidencialidad de PCI DSS y excelente protección, pero los navegadores de versiones anteriores pueden no ser capaces de acceder al sitio web. Seguridad: Excelente
Conjunto de cifrado 3	ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 HIGH !MD5 !aNULL !eNULL !NULL !DH !EDH	Compatibilidad: Promedio. Es posible que las versiones anteriores de los navegadores no puedan acceder al sitio web. Seguridad: Excelente. Se admiten múltiples algoritmos, como ECDHE, DHE-GCM y RSA-AES-GCM.
Conjunto de cifrado 4	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA256 HIGH !MD5 !aNULL !eNULL !NULL !EDH	Compatibilidad: Bueno. Una amplia gama de navegadores son compatibles. Seguridad: Promedio. Se soporta el algoritmo GCM.

Las suites de cifrado TLS en WAF son compatibles con todos los navegadores y clientes de versiones posteriores, pero son incompatibles con algunos navegadores de versiones anteriores. Tabla 3 enumera los navegadores y clientes incompatibles si se utiliza el protocolo TLS v1.0.

Se recomienda que se realicen pruebas de compatibilidad en el entorno de servicio para garantizar la estabilidad del servicio.

**Tabla 3** Navegadores y clientes incompatibles para conjuntos de cifrado bajo TLS v1.0
Navegador/Cliente	Conjunto de cifrado predeterminado	Conjunto de cifrado 1	Conjunto de cifrado 2	Conjunto de cifrado 3	Cipher Suite 4
Google Chrome 63 /macOS High Sierra 10.13.2	No compatible	Compatible	Compatible	Compatible	Not compatible
Google Chrome 49/ Windows XP SP3	No compatible	No compatible	No compatible	No compatible	Not compatible
Internet Explorer 6 /Windows XP	No compatible	No compatible	No compatible	No compatible	Not compatible
Internet Explorer 8 /Windows XP	No compatible	No compatible	No compatible	No compatible	Not compatible
Safari 6/iOS 6.0.1	Compatible	Compatible	No compatible	Compatible	Compatible
Safari 7/iOS 7.1	Compatible	Compatible	No compatible	Compatible	Compatible
Safari 7/OS X 10.9	Compatible	Compatible	No compatible	Compatible	Compatible
Safari 8/iOS 8.4	Compatible	Compatible	No compatible	Compatible	Compatible
Safari 8/OS X 10.10	Compatible	Compatible	No compatible	Compatible	Compatible
Internet Explorer 7/Windows Vista	Compatible	Compatible	No compatible	Compatible	Compatible
Internet Explorer 8, 9, or 10 /Windows 7	Compatible	Compatible	No compatible	Compatible	Compatible
Internet Explorer 10 /Windows Phone 8.0	Compatible	Compatible	No compatible	Compatible	Compatible
Java 7u25	Compatible	Compatible	No compatible	Compatible	Compatible
OpenSSL 0.9.8y	No compatible	No compatible	No compatible	No compatible	Not compatible
Safari 5.1.9/OS X 10.6.8	Compatible	Compatible	No compatible	Compatible	Compatible
Safari 6.0.4/OS X 10.8.4	Compatible	Compatible	No compatible	Compatible	Compatible

Impacto en el sistema

Si habilita la certificación PCI DSS, compruebe:
- La versión mínima de TLS y el conjunto de cifrado se establecen automáticamente en TLS v1.2 y EECDH+AESGCM:EDH+AESGCM, respectivamente, y no se pueden cambiar.
- Para cambiar la versión mínima de TLS y el conjunto de cifrado, desactive la comprobación.
Si habilita la certificación PCI 3DS, compruebe:
- La versión mínima de TLS se establece automáticamente en TLS v1.2 y no se puede cambiar.
- La comprobación no se puede deshabilitar.

Procedimiento

Inicie sesión en la consola de gestión
Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
In the navigation pane, choose Website Settings.
En la columna Protected Website, haga clic en el nombre de dominio del sitio web para ir a la página de información básica.
En la fila Compliance Certification, puede seleccionar PCI DSS y/o PCI 3DS para permitir que WAF revise su sitio web para el cumplimiento de la certificación PCI correspondiente. En la fila TLS Configuration, haga clic en para completar la configuración de TLS. Figura 1 muestra un ejemplo.

Figura 1 Modificación de la configuración de TLS
- Seleccione PCI DSS. En el cuadro de diálogo Warning que se muestra, haga clic en OK para habilitar la comprobación de certificación PCI DSS.
  
  Si la comprobación de certificación PCI DSS está activada, no se puede cambiar la versión mínima de TLS y el conjunto de cifrado.
- Seleccione PCI 3DS. En el cuadro de diálogo Warning que se muestra, haga clic en OK para activar la comprobación de certificación PCI 3DS.
  - Si la comprobación de certificación PCI 3DS está activada, no se puede cambiar la versión mínima de TLS.
  - Una vez habilitada, la comprobación de certificación PCI 3DS no se puede deshabilitar.
En el cuadro de diálogo de TLS Configuration que se muestra, seleccione la versión mínima de TLS y el conjunto de cifrado. Figura 2 muestra un ejemplo.

Figura 2 Configuración de TLS
Seleccione la versión mínima de TLS que necesita. Las opciones son las siguientes:
- TLS v1.0: la versión predeterminada. Las solicitudes que usan TLS v1.0 o posterior pueden acceder al nombre de dominio.
- TLS v1.1: Solo las solicitudes que usen TLS v1.1 o posterior pueden acceder al nombre de dominio.
- TLS v1.2: Solo las solicitudes que utilicen TLS v1.2 o posterior pueden acceder al nombre de dominio.
Click OK.

Verificación

Si Minimum TLS Version está establecida en TLS v1.2, se puede acceder al sitio web a través de conexiones protegidas por TLS v1.2 o posterior, pero no se puede acceder a través de conexiones protegidas por TLS v1.1 o anterior.

Tema principal: Gestión de nombres de dominio de sitios web

Tema anterior: Cambio de modo de trabajo WAF

Tema siguiente: Habilitación de la protección IPv6 WAF

Comentarios

¿Le pareció útil esta página?

Sí No

Deje algún comentario

Muchas gracias por sus comentarios. Seguiremos trabajando para mejorar la documentación.

El sistema está ocupado. Vuelva a intentarlo más tarde.

¿Cuáles de los siguientes problemas se presentaron?

Contenido diferente a la de la IU del producto

Descripciones poco claras

Falta de ejemplos o código

Pasos incorrectos

No puedo encontrar lo que necesito

Falta de prácticas recomendadas

Comentarios (opcional)

0/500

Seleccione al menos un tipo de problema e ingrese sus comentarios o sugerencias.

Ingrese 500 caracteres como máximo.

Enviar Cancelar