Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Cómputo
Elastic Cloud Server
Bare Metal Server
Auto Scaling
Image Management Service
Dedicated Host
FunctionGraph
Cloud Phone Host
Huawei Cloud EulerOS
Redes
Virtual Private Cloud
Elastic IP
Elastic Load Balance
NAT Gateway
Direct Connect
Virtual Private Network
VPC Endpoint
Cloud Connect
Enterprise Router
Enterprise Switch
Global Accelerator
Gestión y gobernanza
Cloud Eye
Identity and Access Management
Cloud Trace Service
Resource Formation Service
Tag Management Service
Log Tank Service
Config
Resource Access Manager
Simple Message Notification
Application Performance Management
Application Operations Management
Organizations
Optimization Advisor
Cloud Operations Center
Resource Governance Center
Migración
Server Migration Service
Object Storage Migration Service
Cloud Data Migration
Migration Center
Cloud Ecosystem
KooGallery
Partner Center
User Support
My Account
Billing Center
Cost Center
Resource Center
Enterprise Management
Service Tickets
HUAWEI CLOUD (International) FAQs
ICP Filing
Support Plans
My Credentials
Customer Operation Capabilities
Partner Support Plans
Professional Services
Análisis
MapReduce Service
Data Lake Insight
CloudTable Service
Cloud Search Service
Data Lake Visualization
Data Ingestion Service
GaussDB(DWS)
DataArts Studio
IoT
IoT Device Access
Otros
Product Pricing Details
System Permissions
Console Quick Start
Common FAQs
Instructions for Associating with a HUAWEI CLOUD Partner
Message Center
Seguridad y cumplimiento
Security Technologies and Applications
Web Application Firewall
Host Security Service
Cloud Firewall
SecMaster
Data Encryption Workshop
Database Security Service
Cloud Bastion Host
Data Security Center
Cloud Certificate Manager
Situation Awareness
Managed Threat Detection
Blockchain
Blockchain Service
Servicios multimedia
Media Processing Center
Video On Demand
Live
SparkRTC
Almacenamiento
Object Storage Service
Elastic Volume Service
Cloud Backup and Recovery
Storage Disaster Recovery Service
Scalable File Service
Volume Backup Service
Cloud Server Backup Service
Data Express Service
Dedicated Distributed Storage Service
Contenedores
Cloud Container Engine
SoftWare Repository for Container
Application Service Mesh
Ubiquitous Cloud Native Service
Cloud Container Instance
Bases de datos
Relational Database Service
Document Database Service
Data Admin Service
Data Replication Service
GeminiDB
GaussDB
Distributed Database Middleware
Database and Application Migration UGO
TaurusDB
Middleware
Distributed Cache Service
API Gateway
Distributed Message Service for Kafka
Distributed Message Service for RabbitMQ
Distributed Message Service for RocketMQ
Cloud Service Engine
EventGrid
Dedicated Cloud
Dedicated Computing Cluster
Aplicaciones empresariales
ROMA Connect
Message & SMS
Domain Name Service
Edge Data Center Management
Meeting
AI
Face Recognition Service
Graph Engine Service
Content Moderation
Image Recognition
Data Lake Factory
Optical Character Recognition
ModelArts
ImageSearch
Conversational Bot Service
Speech Interaction Service
Huawei HiLens
Developer Tools
SDK Developer Guide
API Request Signing Guide
Terraform
Koo Command Line Interface
Distribución de contenido y cómputo de borde
Content Delivery Network
Intelligent EdgeFabric
CloudPond
Soluciones
SAP Cloud
High Performance Computing
Servicios para desarrolladores
ServiceStage
CodeArts
CodeArts PerfTest
CodeArts Req
CodeArts Pipeline
CodeArts Build
CodeArts Deploy
CodeArts Artifact
CodeArts TestPlan
CodeArts Check
Cloud Application Engine
aPaaS MacroVerse
KooPhone
KooDrive
Centro de ayuda/ Web Application Firewall/ Guía del usuario/ Gestión de nombres de dominio de sitios web/ Configuración de la comprobación de certificación PCI DSS/3DS y versión TLS

Configuración de la comprobación de certificación PCI DSS/3DS y versión TLS

Actualización más reciente 2023-09-21 GMT+08:00

Transport Layer Security (TLS) proporciona confidencialidad y garantiza la integridad de los datos para los datos enviados entre aplicaciones a través de Internet. HTTPS es un protocolo de red construido basado en TLS y HTTP y se puede utilizar para la transmisión cifrada y la autenticación de identidad. Si selecciona Cloud mode o Dedicated mode para la implementación y establece Client Protocol en HTTPS, establecer la versión mínima de TLS y el conjunto de cifrado (un conjunto de múltiples algoritmos criptográficos) para su nombre de dominio para bloquear las solicitudes que utilizan una versión de TLS anterior a la configurada.

TLS v1.0 y el conjunto de cifrado 1 están configurados por defecto en WAF para la seguridad general. Para proteger mejor sus sitios web, establezca la versión mínima de TLS en una versión posterior y seleccione un conjunto de cifrado más segura.

WAF le permite habilitar las comprobaciones de certificación PCI DSS y PCI 3DS. Después de activar la comprobación de la certificación PCI DSS o PCI 3DS, la versión mínima de TLS se establece automáticamente en TLS v1.2 para cumplir con los requisitos de certificación PCI DSS y PCI 3DS. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas. PCI 3-Domain Secure (PCI 3DS) es un estándar de seguridad PCI Core.

NOTA:

Si ha habilitado proyectos de empresa, asegúrese de que tiene todos los permisos de operación para el proyecto en el que se encuentra la instancia WAF. A continuación, puede seleccionar el proyecto empresarial en la lista desplegable de Enterprise Project y configurar PCI DSS o PCI 3DS y TLS para los nombres de dominio.

Prerrequisitos

  • El modo de implementación de la instancia WAF configurada para su sitio web es Cloud mode o Dedicated mode.
  • Su sitio web utiliza HTTPS como protocolo de cliente.

Restricciones

  • Si Client Protocol para el sitio web que desea proteger está establecido en HTTP, TLS no es necesario y puede omitir este tema.
  • Actualmente, esta función no está disponible en CN Norte-Ulanqab1.

Escenarios de aplicación

De forma predeterminada, la versión mínima de TLS configurada para WAF es TLS v1.0. Para garantizar la seguridad del sitio web, configure la versión TLS adecuada para sus requisitos de servicio. Tabla 1 enumera las versiones mínimas recomendadas de TLS para diferentes escenarios.

Tabla 1 Versiones mínimas recomendadas de TLS

Escenario

Versión mínima de TLS (recomendada)

Efecto de protección

Sitios web que manejan datos empresariales críticos, como sitios utilizados en banca, finanzas, valores y comercio electrónico.

TLS v1.2

WAF bloquea automáticamente las solicitudes de acceso a sitios web que utilizan TLS v1.0 o TLS v1.1.

Sitios web con requisitos básicos de seguridad, por ejemplo, sitios web para pequeñas y medianas empresas.

TLS v1.1

WAF bloquea automáticamente las solicitudes de acceso a sitios web que utilizan TLS v1.0.

Aplicaciones de cliente sin requisitos de seguridad especiales

TLS v1.0

Las solicitudes que utilicen cualquier protocolo TLS pueden acceder al sitio web.

El conjunto de cifrado recomendada en WAF es Cipher suite 1. Cipher suite 1 ofrece una buena combinación de compatibilidad con navegador y seguridad. Para obtener más información sobre cada conjunto de cifrado, consulte Tabla 2.

Tabla 2 Descripción del conjunto de cifrado

Nombre del conjunto de cifrado

Algoritmos criptográficos compatibles

Descripción

Conjunto de cifrado por defecto

  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA256
  • HIGH
  • !MD5
  • !aNULL
  • !eNULL
  • !NULL
  • !DH
  • !EDH
  • !AESGCM
  • Compatibilidad: Bueno.

    Una amplia gama de navegadores son compatibles.

  • Seguridad: Promedio

Conjunto de cifrado 1

  • ECDHE-ECDSA-AES256-GCM-SHA384
  • HIGH
  • !MEDIUM
  • !LOW
  • !aNULL
  • !eNULL
  • !DES
  • !MD5
  • !PSK
  • !kRSA
  • !SRP
  • !3DES
  • !DSS
  • !EXP
  • !CAMELLIA
  • @STRENGTH

Configuración recomendada.

  • Compatibilidad: Bueno.

    Una amplia gama de navegadores son compatibles.

  • Seguridad: Buena

Conjunto de cifrado 2

  • EECDH+AESGCM
  • EDH+AESGCM
  • Compatibilidad: Promedio.

    Cumplimiento estricto de los requisitos de confidencialidad de PCI DSS y excelente protección, pero los navegadores de versiones anteriores pueden no ser capaces de acceder al sitio web.

  • Seguridad: Excelente

Conjunto de cifrado 3

  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-SHA384
  • HIGH
  • !MD5
  • !aNULL
  • !eNULL
  • !NULL
  • !DH
  • !EDH
  • Compatibilidad: Promedio.

    Es posible que las versiones anteriores de los navegadores no puedan acceder al sitio web.

  • Seguridad: Excelente.

    Se admiten múltiples algoritmos, como ECDHE, DHE-GCM y RSA-AES-GCM.

Conjunto de cifrado 4

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA256
  • HIGH
  • !MD5
  • !aNULL
  • !eNULL
  • !NULL
  • !EDH
  • Compatibilidad: Bueno.

    Una amplia gama de navegadores son compatibles.

  • Seguridad: Promedio.

    Se soporta el algoritmo GCM.

Las suites de cifrado TLS en WAF son compatibles con todos los navegadores y clientes de versiones posteriores, pero son incompatibles con algunos navegadores de versiones anteriores. Tabla 3 enumera los navegadores y clientes incompatibles si se utiliza el protocolo TLS v1.0.

AVISO:

Se recomienda que se realicen pruebas de compatibilidad en el entorno de servicio para garantizar la estabilidad del servicio.

Tabla 3 Navegadores y clientes incompatibles para conjuntos de cifrado bajo TLS v1.0

Navegador/Cliente

Conjunto de cifrado predeterminado

Conjunto de cifrado 1

Conjunto de cifrado 2

Conjunto de cifrado 3

Cipher Suite 4

Google Chrome 63 /macOS High Sierra 10.13.2

No compatible

Compatible

Compatible

Compatible

Not compatible

Google Chrome 49/ Windows XP SP3

No compatible

No compatible

No compatible

No compatible

Not compatible

Internet Explorer 6

/Windows XP

No compatible

No compatible

No compatible

No compatible

Not compatible

Internet Explorer 8

/Windows XP

No compatible

No compatible

No compatible

No compatible

Not compatible

Safari 6/iOS 6.0.1

Compatible

Compatible

No compatible

Compatible

Compatible

Safari 7/iOS 7.1

Compatible

Compatible

No compatible

Compatible

Compatible

Safari 7/OS X 10.9

Compatible

Compatible

No compatible

Compatible

Compatible

Safari 8/iOS 8.4

Compatible

Compatible

No compatible

Compatible

Compatible

Safari 8/OS X 10.10

Compatible

Compatible

No compatible

Compatible

Compatible

Internet Explorer

7/Windows Vista

Compatible

Compatible

No compatible

Compatible

Compatible

Internet Explorer 8, 9, or 10

/Windows 7

Compatible

Compatible

No compatible

Compatible

Compatible

Internet Explorer 10

/Windows Phone 8.0

Compatible

Compatible

No compatible

Compatible

Compatible

Java 7u25

Compatible

Compatible

No compatible

Compatible

Compatible

OpenSSL 0.9.8y

No compatible

No compatible

No compatible

No compatible

Not compatible

Safari 5.1.9/OS X 10.6.8

Compatible

Compatible

No compatible

Compatible

Compatible

Safari 6.0.4/OS X 10.8.4

Compatible

Compatible

No compatible

Compatible

Compatible

Impacto en el sistema

  • Si habilita la certificación PCI DSS, compruebe:
    • La versión mínima de TLS y el conjunto de cifrado se establecen automáticamente en TLS v1.2 y EECDH+AESGCM:EDH+AESGCM, respectivamente, y no se pueden cambiar.
    • Para cambiar la versión mínima de TLS y el conjunto de cifrado, desactive la comprobación.
  • Si habilita la certificación PCI 3DS, compruebe:
    • La versión mínima de TLS se establece automáticamente en TLS v1.2 y no se puede cambiar.
    • La comprobación no se puede deshabilitar.

Procedimiento

  1. Inicie sesión en la consola de gestión
  2. Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
  4. In the navigation pane, choose Website Settings.
  5. En la columna Protected Website, haga clic en el nombre de dominio del sitio web para ir a la página de información básica.
  6. En la fila Compliance Certification, puede seleccionar PCI DSS y/o PCI 3DS para permitir que WAF revise su sitio web para el cumplimiento de la certificación PCI correspondiente. En la fila TLS Configuration, haga clic en para completar la configuración de TLS. Figura 1 muestra un ejemplo.

    Figura 1 Modificación de la configuración de TLS
    • Seleccione PCI DSS. En el cuadro de diálogo Warning que se muestra, haga clic en OK para habilitar la comprobación de certificación PCI DSS.

      AVISO:

      Si la comprobación de certificación PCI DSS está activada, no se puede cambiar la versión mínima de TLS y el conjunto de cifrado.

    • Seleccione PCI 3DS. En el cuadro de diálogo Warning que se muestra, haga clic en OK para activar la comprobación de certificación PCI 3DS.

      AVISO:
      • Si la comprobación de certificación PCI 3DS está activada, no se puede cambiar la versión mínima de TLS.
      • Una vez habilitada, la comprobación de certificación PCI 3DS no se puede deshabilitar.

  7. En el cuadro de diálogo de TLS Configuration que se muestra, seleccione la versión mínima de TLS y el conjunto de cifrado. Figura 2 muestra un ejemplo.

    Figura 2 Configuración de TLS
    Seleccione la versión mínima de TLS que necesita. Las opciones son las siguientes:
    • TLS v1.0: la versión predeterminada. Las solicitudes que usan TLS v1.0 o posterior pueden acceder al nombre de dominio.
    • TLS v1.1: Solo las solicitudes que usen TLS v1.1 o posterior pueden acceder al nombre de dominio.
    • TLS v1.2: Solo las solicitudes que utilicen TLS v1.2 o posterior pueden acceder al nombre de dominio.

  8. Click OK.

Verificación

Si Minimum TLS Version está establecida en TLS v1.2, se puede acceder al sitio web a través de conexiones protegidas por TLS v1.2 o posterior, pero no se puede acceder a través de conexiones protegidas por TLS v1.1 o anterior.

Utilizamos cookies para mejorar nuestro sitio y tu experiencia. Al continuar navegando en nuestro sitio, tú aceptas nuestra política de cookies. Descubre más

Comentarios

Comentarios

Comentarios

0/500

Seleccionar contenido

Enviar el contenido seleccionado con los comentarios