配置PCI DSS/3DS合规与TLS
安全传输层协议(Transport Layer Security,TLS)在两个通信应用程序之间提供保密性和数据完整性。HTTPS协议是由TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议。当防护网站的部署模式为“云模式”或“独享模式”且“对外协议”为“HTTPS”时,您可以通过WAF为网站设置最低TLS版本和加密套件(多种加密算法的集合),对于低于最低TLS版本的请求,将无法正常访问网站,以满足行业客户的安全需求。
WAF默认配置的最低TLS版本为TLS v1.0,加密套件为“安全加密套件”。
同时,WAF支持开启PCI DSS和PCI 3DS合规认证检查功能,开启合规认证后,最低TLS版本将设置为TLS v1.2,以满足PCI DSS和PCI 3DS合规认证要求。
应用场景
WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,支持配置的最低TLS版本如表1所示。
|
场景 |
最低TLS版本(推荐) |
防护效果 |
|---|---|---|
|
网站安全性能要求很高(例如,银行金融、证券、电子商务等有重要商业信息和重要数据的行业) |
TLS v1.2 |
WAF将自动拦截TLS v1.0和TLS v1.1协议的访问请求。 |
|
网站安全性能要求一般(例如,中小企业门户网站) |
TLS v1.1 |
WAF将自动拦截TLS1.0协议的访问请求。 |
|
客户端APP无安全性要求,可以正常访问网站 |
TLS v1.0 |
所有的TLS协议都可以访问网站。 |
WAF推荐配置的加密套件为“安全加密套件”,可以满足浏览器兼容性和安全性,各加密套件相关说明如表2所示。
|
加密套件名称 |
支持的加密算法 |
不支持的加密算法 |
说明 |
|---|---|---|---|
|
经典加密套件
说明:
WAF默认给网站配置的是“安全加密套件”,但是如果请求信息不携带SNI信息,WAF就会选择缺省的“经典加密套件”。 |
|
|
|
|
加密套件1 |
|
|
推荐配置。
|
|
加密套件2 |
|
- |
|
|
加密套件3 |
|
|
|
|
加密套件4 |
|
|
|
|
加密套件5 |
|
|
仅支持RSA-AES-CBC算法。 |
|
加密套件6 |
|
- |
|
|
安全加密套件 |
|
|
在“加密套件1”的基础上,去除了对CBC算法的支持。推荐的安全配置,满足大多数安全场景。
|
|
加密套件8 |
|
|
支持AES-GCM,提供强加密和数据完整性保护。
|
WAF提供的TLS加密套件对于高版本的浏览器及客户端都可以兼容,不能兼容部分老版本的浏览器,以TLS v1.0协议为例,加密套件不兼容的浏览器及客户端参考说明如表3所示。
建议您以实际客户端环境测试的兼容情况为准,避免影响现网业务。
|
浏览器/客户端 |
经典加密套件 |
加密套件1 |
加密套件2 |
加密套件3 |
加密套件4 |
加密套件5 |
加密套件6 |
安全加密套件 |
加密套件8 |
|---|---|---|---|---|---|---|---|---|---|
|
Google Chrome 63 /macOS High Sierra 10.13.2 |
× |
√ |
√ |
√ |
× |
√ |
√ |
√ |
√ |
|
Google Chrome 49/ Windows XP SP3 |
× |
× |
× |
× |
× |
√ |
√ |
× |
√ |
|
Internet Explorer 6/Windows XP |
× |
× |
× |
× |
× |
× |
× |
× |
× |
|
Internet Explorer 8/Windows XP |
× |
× |
× |
× |
× |
× |
× |
× |
× |
|
Safari 6/iOS 6.0.1 |
√ |
√ |
× |
√ |
√ |
√ |
√ |
× |
√ |
|
Safari 7/iOS 7.1 |
√ |
√ |
× |
√ |
√ |
√ |
√ |
√ |
√ |
|
Safari 7/OS X 10.9 |
√ |
√ |
× |
√ |
√ |
√ |
√ |
√ |
√ |
|
Safari 8/iOS 8.4 |
√ |
√ |
× |
√ |
√ |
√ |
√ |
√ |
√ |
|
Safari 8/OS X 10.10 |
√ |
√ |
× |
√ |
√ |
√ |
√ |
√ |
√ |
|
Internet Explorer 7/Windows Vista |
√ |
√ |
× |
√ |
√ |
× |
√ |
× |
√ |
|
Internet Explorer 8~10/Windows 7 |
√ |
√ |
× |
√ |
√ |
× |
√ |
× |
√ |
|
Internet Explorer 10/Windows Phone 8.0 |
√ |
√ |
× |
√ |
√ |
× |
√ |
× |
√ |
|
Java 7u25 |
√ |
√ |
× |
√ |
√ |
× |
√ |
× |
√ |
|
OpenSSL 0.9.8y |
× |
× |
× |
× |
× |
× |
× |
× |
√ |
|
Safari 5.1.9/OS X 10.6.8 |
√ |
√ |
× |
√ |
√ |
× |
√ |
× |
√ |
|
Safari 6.0.4/OS X 10.8.4 |
√ |
√ |
× |
√ |
√ |
× |
√ |
× |
√ |
系统影响
- PCI DSS
- 开启PCI DSS合规认证后,不能修改TLS最低版本和加密套件,且最低TLS版本将设置为“TLS v1.2”,加密套件设置为EECDH+AESGCM:EDH+AESGCM。
- 开启PCI DSS合规认证后,如果您需要修改TLS最低版本和加密套件,请关闭该认证。
- PCI 3DS
- 开启PCI 3DS合规认证后,不能修改TLS最低版本,且最低TLS版本将设置为“TLS v1.2”。
- 开启PCI 3DS合规认证后,您将不能关闭该认证,请根据业务实际需求进行操作。
约束条件
|
功能 |
约束说明 |
|---|---|
|
接入方式限制 |
|
|
对外协议 |
|
|
企业项目 |
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下的域名配置PCI DSS/3DS合规与TLS。 |
前提条件
已添加防护网站且配置的“对外协议”包含HTTPS。
配置PCI DSS/3DS合规与TLS
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,单击“网站设置”。
- 在“网站设置”页面,单击目标网站域名。
- 在“合规认证”行,可以勾选“PCI DSS”或“PCI 3DS”开启合规认证,也可以在“TLS配置”所在行,单击
修改TLS配置。
图1 修改TLS配置
- 勾选“PCI DSS”,系统弹出“警告”对话框,单击“确定”,开启该合规认证。
选择开启PCI DSS合规认证后,您将不能修改TLS最低版本和加密套件。
- 勾选“PCI 3DS”,系统弹出“警告”对话框,单击“确定”,开启该合规认证。
- 选择开启PCI 3DS合规认证后,您将不能修改TLS最低版本。
- 选择开启PCI 3DS合规认证后,您将不能关闭该认证,请根据业务实际需求进行操作。
- 勾选“PCI DSS”,系统弹出“警告”对话框,单击“确定”,开启该合规认证。
- 在“国际证书”或“国密证书”所在行的TLS加密套件后,单击“修改”。
- 在弹出的“TLS配置”对话框中,选择最低TLS版本和加密套件,如图2所示。
选择“最低TLS版本”,相关说明如下:
- 默认为TLS v1.0版本,TLS v1.0及以上版本的请求可以访问域名。
- 选择TLS v1.1版本时,TLS v1.1及以上版本的请求可以访问域名。
- 选择TLS v1.2版本时,TLS v1.2及以上版本的请求可以访问域名。
如果是“国密证书”,仅支持“gmtls”的TLS版本和默认的加密套件。
- 单击“确定”,TLS配置完成。
完成以上配置,您可以在客户端分别使用不同TLS版本访问域名,正常情况下,TLS版本低于v1.2的请求失败;TLS版本为v1.2及以上的请求成功。
