Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Web Application Firewall/ Guia de usuário/ Gerenciamento de nomes de domínio do site/ Configuração de verificação de certificação PCI DSS/3DS e a versão do TLS

Atualizado em 2023-09-21 GMT+08:00

Ver PDF

Configuração de verificação de certificação PCI DSS/3DS e a versão do TLS

O TLS (Transport Layer Security) fornece confidencialidade e garante a integridade dos dados enviados entre aplicativos pela Internet. HTTPS é um protocolo de rede construído com base em TLS e HTTP e pode ser usado para transmissão criptografada e autenticação de identidade. Se você selecionar Modo de Nuvem ou Modo dedicado para implantação e definir Client Protocol como HTTPS , defina a versão mínima do TLS e o conjunto de cifras (um conjunto de vários algoritmos criptográficos) para o seu nome de domínio para bloquear solicitações que usam uma versão TLS anterior à configurada.

O TLS v1.0 e o conjunto de cifras 1 são configurados por padrão no WAF para segurança geral. Para proteger melhor seus sites, defina a versão mínima do TLS para uma versão posterior e selecione um conjunto de cifras mais seguro.

O WAF permite que você habilite as verificações de certificação PCI DSS e PCI 3DS. Depois que a verificação de certificação PCI DSS ou PCI 3DS é ativada, a versão mínima do TLS é definida automaticamente como TLS v1.2 para atender aos requisitos de certificação PCI DSS e PCI 3DS. O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um padrão de segurança da informação para organizações que lidam com cartões de crédito de marca dos principais esquemas de cartões. PCI 3-Domain Secure (PCI 3DS) é um padrão de segurança PCI Core.

Se você ativou projetos empresariais, certifique-se de ter todas as permissões de operação para o projeto em que sua instância do WAF está localizada. Em seguida, você pode selecionar o projeto da empresa na lista suspensa Enterprise Project e configurar PCI DSS ou PCI 3DS e TLS para os nomes de domínio.

Pré-requisitos

O modo de implantação da instância do WAF configurado para o seu site é Cloud mode ou Dedicated mode.
Seu site usa HTTPS como o protocolo do cliente.

Restrições

Se o Client Protocol para o site que você deseja proteger estiver definido como HTTP, o TLS não será necessário e você poderá ignorar este tópico.
Atualmente, essa função não está disponível no CN North-Ulanqab1.

Cenários de aplicação

Por padrão, a versão mínima do TLS configurada para o WAF é o TLS v1.0. Para garantir a segurança do site, configure a versão TLS correta para seus requisitos de serviço. Tabela 1 lista as versões mínimas recomendadas de TLS para diferentes cenários.

**Tabela 1** Versões mínimas recomendadas de TLS
Cenário	Versão mínima do TLS (recomendado)	Efeito de proteção
Websites que lidam com dados críticos de negócios, como sites usados em bancos, finanças, valores mobiliários e comércio eletrônico.	TLS versão 1.2	O WAF bloqueia automaticamente as solicitações de acesso a sites que usam TLS v1.0 ou TLS v1.1.
Sites com requisitos básicos de segurança, por exemplo, sites de pequenas e médias empresas.	TLS v1.1	O WAF bloqueia automaticamente as solicitações de acesso a sites que usam o TLS v1.0.
Aplicações cliente sem requisitos especiais de segurança	TLS v1.0	Pedidos usando qualquer protocolo TLS podem acessar o site.

A suíte de cifras recomendada no WAF é Cipher suite 1. O Cipher Suite 1 oferece uma boa combinação de compatibilidade e segurança do navegador. Para obter detalhes sobre cada conjunto de cifras, consulte Tabela 2.

**Tabela 2** Descrição de conjuntos de cifras
Nome da suíte de cifras	Algoritmos criptográficos suportados	Descrição
Conjunto de cifras padrão	ECDHE-RSA-AES256-SHA384 AES256-SHA256 HIGH !MD5 !aNULL !eNULL !NULL !DH !EDH !AESGCM	Compatibilidade: Boa. Uma ampla gama de navegadores são suportados. Segurança Média
Conjunto de cifras 1	ECDHE-ECDSA-AES256-GCM-SHA384 HIGH !MEDIUM !LOW !aNULL !eNULL !DES !MD5 !PSK !kRSA !SRP !3DES !DSS !EXP !CAMELLIA @STRENGTH	Configuração recomendada. Compatibilidade: Boa. Uma ampla gama de navegadores são suportados. Segurança: Bom
Cipher suite 2	EECDH+AESGCM EDH+AESGCM	Compatibilidade: Média. Conformidade estrita com os requisitos de sigilo direto do PCI DSS e excelente proteção, mas os navegadores de versões anteriores podem não conseguir acessar o site. Segurança: Excelente
Cipher suite 3	ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 HIGH !MD5 !aNULL !eNULL !NULL !DH !EDH	Compatibilidade: Média. Versões anteriores de navegadores podem não conseguir acessar o site. Segurança: Excelente. Vários algoritmos, como ECDHE, DHE-GCM e RSA-AES-GCM, são suportados.
Cipher suite 4	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA256 HIGH !MD5 !aNULL !eNULL !NULL !EDH	Compatibilidade: Boa. Uma ampla gama de navegadores são suportados. Segurança: Média. O algoritmo GCM é suportado.

Os conjuntos de cifras TLS no WAF são compatíveis com todos os navegadores e clientes de versões posteriores, mas são incompatíveis com alguns navegadores de versões anteriores. Tabela 3 lista os navegadores e clientes incompatíveis se o protocolo TLS v1.0 for usado.

Recomenda-se que testes de compatibilidade sejam realizados no ambiente de serviço para garantir a estabilidade do serviço.

**Tabela 3** Navegadores e clientes incompatíveis para conjuntos de cifras em TLS v1.0
Navegador/Cliente	Padrão Cipher Suite	Cipher Suite 1	Cipher Suite 2	Cipher Suite 3	Cipher Suite 4
Google Chrome 63 /macOS High Sierra 10.13.2	Não compatível	Compatível	Compatível	Compatível	Não compatível
Google Chrome 49/ Windows XP SP3	Não compatível	Não compatível	Não compatível	Não compatível	Não compatível
Internet Explorer 6 /Windows XP	Não compatível	Não compatível	Não compatível	Não compatível	Não compatível
Internet Explorer 8 /Windows XP	Não compatível	Não compatível	Não compatível	Não compatível	Não compatível
Safari 6/iOS 6.0.1	Compatível	Compatível	Não compatível	Compatível	Compatível
Safari 7/iOS 7.1	Compatível	Compatível	Não compatível	Compatível	Compatível
Safari 7/OS X 10.9	Compatível	Compatível	Não compatível	Compatível	Compatível
Safari 8/iOS 8.4	Compatível	Compatível	Não compatível	Compatível	Compatível
Safari 8/OS X 10.10	Compatível	Compatível	Não compatível	Compatível	Compatível
Internet Explorer 7/Windows Vista	Compatível	Compatível	Não compatível	Compatível	Compatível
Internet Explorer 8, 9 ou 10 /Windows 7	Compatível	Compatível	Não compatível	Compatível	Compatível
Internet Explorer 10 /Windows Phone 8.0	Compatível	Compatível	Não compatível	Compatível	Compatível
Java 7u25	Compatível	Compatível	Não compatível	Compatível	Compatível
OpenSSL 0.9.8y	Não compatível	Não compatível	Não compatível	Não compatível	Não compatível
Safari 5.1.9/OS X 10.6.8	Compatível	Compatível	Não compatível	Compatível	Compatível
Safari 6.0.4/OS X 10.8.4	Compatível	Compatível	Não compatível	Compatível	Compatível

Impacto no sistema

Se você ativar a verificação de certificação PCI DSS:
- A versão mínima do TLS e o conjunto de cifras são definidos automaticamente como TLS v1.2 e EECDH+AESGCM:EDH+AESGCM, respectivamente, e não podem ser alterados.
- Para alterar a versão mínima do TLS e o conjunto de cifras, desative a verificação.
Se você ativar a verificação de certificação PCI 3DS:
- A versão mínima do TLS é definida automaticamente como TLS v1.2 e não pode ser alterada.
- A verificação não pode ser desativada.

Procedimento

Efetue login no console de gerenciamento.
Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.
No painel de navegação, escolha Website Settings.
Na coluna Protected Website, clique no nome de domínio do site para acessar a página de informações básicas.
Na linha Compliance Certification, você pode selecionar PCI DSS e/ou PCI 3DS para permitir que o WAF verifique seu site quanto à conformidade de certificação PCI correspondente. Na linha TLS Configuration, clique em para concluir a configuração de TLS. Figura 1 mostra um exemplo.

Figura 1 Modificação da configuração do TLS
- Selecione PCI DSS. Na caixa de diálogo Warning exibida, clique em OK para habilitar a verificação de certificação PCI DSS.
  
  Se a verificação de certificação PCI DSS estiver ativada, a versão mínima do TLS e o conjunto de cifras não poderão ser alterados.
- Selecione PCI 3DS. Na caixa de diálogo Warning exibida, clique em OK para ativar a verificação de certificação PCI 3DS.
  - Se a verificação de certificação PCI 3DS estiver ativada, a versão mínima do TLS não poderá ser alterada.
  - Uma vez ativada, a verificação de certificação PCI 3DS não pode ser desativada.
Na caixa de diálogo Configuração de TLS exibida, selecione a versão mínima de TLS e o conjunto de cifras. Figura 2 mostra um exemplo.

Figura 2 Configuração de TLS
Selecione a versão mínima do TLS que você precisa. As opções são as seguintes:
- TLS v1.0: a versão padrão. As solicitações que usam o TLS v1.0 ou posterior podem acessar o nome de domínio.
- TLS v1.1: Somente solicitações usando TLS v1.1 ou posterior podem acessar o nome de domínio.
- TLS v1.2: Somente solicitações usando TLS v1.2 ou posterior podem acessar o nome de domínio.
Clique em OK.

Verificação

Se Minimum TLS Version estiver definida como TLS v1.2, o site pode ser acessado por conexões protegidas pelo TLS v1.2 ou posterior, mas não pode ser acessado por conexões protegidas pelo TLS v1.1 ou anterior.

Tópico principal: Gerenciamento de nomes de domínio do site

Tópico anterior: Alternação de modo de trabalho do WAF

Próximo tópico: Ativação de proteção WAF IPv6

Feedback

Esta página foi útil?

Sim Não

Deixar um comentário

Obrigado por seus comentários. Estamos trabalhando para melhorar a documentação.

O sistema está ocupado. Tente novamente mais tarde.

Quais dos seguintes problemas você encontrou?

O conteúdo é inconsistente com a UI do produto

Descrições pouco claras

Falta de exemplos ou código

Passos incorretos

Não encontro o que preciso

Falta de melhores práticas

Feedback (opcional)

0/500

Selecione pelo menos um tipo de problema e insira seus comentários ou sugestões.

Insira um máximo de 500 caracteres.

Enviar Cancelar