配置TLS版本与加密套件
华为云CDN为您提供了TLS版本与加密套件配置的功能,您可以根据自己的业务需求配置合适的TLS版本与加密套件。
背景信息
传输层安全性协议(TLS:Transport Layer Security),是一种安全协议,目的是为互联网通信提供安全及数据完整性保障,最典型的应用就是HTTPS。目前,有四个版本的TLS协议:TLS1.0/1.1/1.2/1.3,版本越高,安全性相对更高,但是对老版本的浏览器兼容性相对较差。
加密套件是TLS/SSL协议中的一个概念,是指服务器和客户端所使用的加密算法组合。在TLS握手阶段,客户端将自身支持的加密套件列表告诉服务器,服务器根据自己支持的所有套件中选择一个作为之后所使用的加密方式。
|
TLS版本 |
支持的主流浏览器 |
|---|---|
|
TLS1.0 |
|
|
TLS1.1 |
|
|
TLS1.2 |
|
|
TLS1.3 |
|
配置约束
- 配置TLS版本需要已成功配置HTTPS国际证书,详见配置域名HTTPS证书。
- 如果域名配置的是国密证书,暂不支持TLS版本。
- 如果您将“国际证书”切换为“国密证书”,TLS版本功能也会失效。
- 如果您配置了双证书,TLS版本功能仅对国际证书生效。
- 只可开启连续或单个版本号。例如,不可仅开启TLS 1.0和TLS 1.2而关闭TLS 1.1。
- 不可关闭全部版本。
- CDN默认开启TLS 1.1/1.2/1.3。
- 后台有特殊配置的域名暂不支持配置TLS版本。
操作步骤
- 登录CDN控制台。
- 在左侧菜单栏中,选择。
- 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
- 选择“HTTPS配置”页签。
- 在“TLS版本与加密套件”模块,单击“编辑”进入配置界面。
图1 配置TLS版本
表2 参数说明 参数
说明
TLS版本
- 支持配置TLS 1.0/1.1/1.2/1.3。
- 只可开启连续或单个版本号。例如,不可仅开启TLS 1.0和TLS 1.2而关闭TLS 1.1。
- 不可关闭全部版本。
- CDN默认开启TLS 1.1/1.2/1.3。
加密套件
CDN支持多种强度的加密套件组合,也可以根据业务需要自定义加密套件,支持的加密套件组合详见表3。
强加密套件:浏览器兼容性较差,安全性高。
一般加密套件:浏览器兼容性适中,安全性适中。
默认加密套件:浏览器兼容性好,安全性较低。
自定义加密套件:可根据业务需要自定义加密套件。
说明:最终生效的加密套件取TLS版本和加密套件二者对应内容的交集。因此,当TLS版本仅选择1.0或1.1时,不支持选择强加密套件。
示例:“TLS版本”配置为“TLS 1.3”,“加密套件”选择“默认加密套件”,那么实际生效的加密套件为TLS 1.3与默认加密套件的交集:ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、DHE-RSA-CHACHA20-POLY1305、ECDHE-RSA-CHACHA20-POLY1305。
自定义加密套件
如果加密套件选择了自定义,即可根据业务需求灵活选择需要的加密套件。
表3 CDN支持的加密套件组合 Openssl加密套件
强加密套件
一般加密套件
默认加密套件
自定义加密套件
ECDHE-ECDSA-AES128-GCM-SHA256
√
√
√
√
ECDHE-ECDSA-AES256-GCM-SHA384
√
√
√
√
ECDHE-RSA-AES128-GCM-SHA256
√
√
√
√
ECDHE-RSA-AES256-GCM-SHA384
√
√
√
√
DHE-RSA-AES128-GCM-SHA256
√
√
√
√
DHE-RSA-AES256-GCM-SHA384
√
√
√
√
ECDHE-ECDSA-AES128-SHA256
-
√
√
√
ECDHE-ECDSA-AES256-SHA384
-
√
√
√
ECDHE-RSA-AES128-SHA
-
-
√
√
ECDHE-RSA-AES128-SHA256
-
√
√
√
ECDHE-RSA-AES256-SHA
-
√
√
√
ECDHE-RSA-AES256-SHA384
-
√
√
√
DHE-RSA-AES128-SHA
-
√
√
√
DHE-RSA-AES128-SHA256
-
√
√
√
DHE-RSA-AES256-SHA
-
√
√
√
DHE-RSA-AES256-SHA256
-
√
√
√
AES128-GCM-SHA256
-
-
√
√
AES256-GCM-SHA384
-
-
√
√
AES128-SHA256
-
-
√
√
AES256-SHA256
-
-
√
√
ECDHE-ECDSA-CHACHA20-POLY1305
√
√
√
√
ECDHE-RSA-CHACHA20-POLY1305
√
√
√
√
DHE-RSA-CHACHA20-POLY1305
√
√
√
√
ECDHE-ECDSA-AES128-SHA
-
-
-
√
ECDHE-ECDSA-AES256-SHA
-
-
-
√
AES128-SHA
-
-
-
√
AES256-SHA
-
-
-
√
DES-CBC3-SHA
-
-
-
√
RC4-SHA
-
-
-
√
- 选择您需要配置的TLS加密算法套件及TLS版本,单击“确定”完成配置。
TLS版本与加密套件的关系
|
Openssl加密套件 |
TLS 1.3 |
TLS 1.2 |
TLS 1.1 |
TLS 1.0 |
|---|---|---|---|---|
|
ECDHE-ECDSA-AES128-GCM-SHA256 |
√ |
√ |
- |
- |
|
ECDHE-ECDSA-AES256-GCM-SHA384 |
√ |
√ |
- |
- |
|
ECDHE-RSA-AES128-GCM-SHA256 |
√ |
√ |
- |
- |
|
ECDHE-RSA-AES256-GCM-SHA384 |
√ |
√ |
- |
- |
|
DHE-RSA-AES128-GCM-SHA256 |
- |
√ |
- |
- |
|
DHE-RSA-AES256-GCM-SHA384 |
- |
√ |
- |
- |
|
ECDHE-ECDSA-AES128-SHA256 |
- |
√ |
- |
- |
|
ECDHE-ECDSA-AES256-SHA384 |
- |
√ |
- |
- |
|
ECDHE-RSA-AES128-SHA |
- |
√ |
√ |
√ |
|
ECDHE-RSA-AES128-SHA256 |
- |
√ |
- |
- |
|
ECDHE-RSA-AES256-SHA |
- |
√ |
√ |
√ |
|
ECDHE-RSA-AES256-SHA384 |
- |
√ |
- |
- |
|
DHE-RSA-AES128-SHA |
- |
√ |
√ |
√ |
|
DHE-RSA-AES128-SHA256 |
- |
√ |
- |
- |
|
DHE-RSA-AES256-SHA |
- |
√ |
√ |
√ |
|
DHE-RSA-AES256-SHA256 |
- |
√ |
- |
- |
|
AES128-GCM-SHA256 |
- |
√ |
- |
- |
|
AES256-GCM-SHA384 |
- |
√ |
- |
- |
|
AES128-SHA256 |
- |
√ |
- |
- |
|
AES256-SHA256 |
- |
√ |
- |
- |
|
ECDHE-ECDSA-CHACHA20-POLY1305 |
- |
√ |
- |
- |
|
ECDHE-RSA-CHACHA20-POLY1305 |
√ |
√ |
- |
- |
|
DHE-RSA-CHACHA20-POLY1305 |
√ |
√ |
- |
- |
|
ECDHE-ECDSA-AES128-SHA |
- |
√ |
- |
- |
|
ECDHE-ECDSA-AES256-SHA |
- |
√ |
√ |
√ |
|
AES128-SHA |
- |
√ |
√ |
√ |
|
AES256-SHA |
- |
√ |
√ |
√ |
|
DES-CBC3-SHA |
- |
√ |
√ |
√ |
|
RC4-SHA |
- |
- |
√ |
√ |
