配置PCI DSS/3DS合规与TLS

在涉及敏感数据处理与传输的业务场景中，企业存在数据泄露、欺诈及合规风险，基础防护难以满足PCI DSS/3DS要求与抵御传输层攻击。WAF配置PCI DSS/3DS合规与TLS，可构建“合规准入+加密传输+欺诈拦截” 三重防护体系，达成业务安全与合规的双重目标。

原理介绍

核心概念

TLS（Transport Layer Security，安全传输层协议）：是一种在两个通信应用程序之间提供保密性和数据完整性的协议，是构建HTTPS协议的核心基础。HTTPS协议由TLS与HTTP协议结合而成，可实现加密传输和身份认证，保障网络通信安全。
加密套件：在TLS握手过程中，客户端和服务器协商使用的一套加密算法组合。它决定了如何加密数据、验证身份以及确保数据完整性。
PCI DSS/3DS合规认证：是针对数据安全传输的合规标准，主要用于满足金融、电商等行业对敏感数据（如信用卡信息）保护的要求。开启该认证后，WAF会强制将最低TLS版本设置为TLS v1.2，以符合合规规范。

WAF默认配置

TLS需要配置最低TLS版本、加密套件。

最低TLS版本

WAF默认配置的最低TLS版本为TLS v1.0，加密套件为“安全加密套件”。

最低TLS版本的典型应用场景如表1所示。

表1 最低TLS版本说明
场景	最低TLS版本（推荐）	防护效果
网站安全性能要求很高（例如，银行金融、证券、电子商务等有重要商业信息和重要数据的行业）	TLS v1.2	WAF将自动拦截TLS v1.0和TLS v1.1协议的访问请求。
网站安全性能要求一般（例如，中小企业门户网站）	TLS v1.1	WAF将自动拦截TLS1.0协议的访问请求。
客户端APP无安全性要求，可以正常访问网站	TLS v1.0	所有的TLS协议都可以访问网站。

加密套件

WAF默认给网站配置的加密套件是“安全加密套件”，可以满足浏览器兼容性和安全性，但如果请求信息不携带SNI信息，WAF就会选择缺省的“经典加密套件”。

WAF支持的各加密套件相关说明如表2所示。

表2 加密套件说明
加密套件名称	支持的加密算法	不支持的加密算法	说明
经典加密套件	ECDHE-RSA-AES256-SHA384 AES256-SHA256 RC4 HIGH	MD5 aNULL eNULL NULL DH EDH AESGCM	兼容性：较好，支持的客户端较为广泛安全性：一般
加密套件1	ECDHE-ECDSA-AES256-GCM-SHA384 HIGH	MEDIUM LOW aNULL eNULL DES MD5 PSK RC4 kRSA 3DES DSS EXP CAMELLIA	推荐配置。兼容性：较好，支持的客户端较为广泛安全性：较高
加密套件2	EECDH+AESGCM EDH+AESGCM	-	兼容性：一般，严格符合PCI DSS的FS要求，较低版本浏览器可能无法访问。安全性：高
加密套件3	ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 RC4 HIGH	MD5 aNULL eNULL NULL DH EDH	兼容性：一般，较低版本浏览器可能无法访问。安全性：高，支持ECDHE、DHE-GCM、RSA-AES-GCM多种算法。
加密套件4	ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA384 AES256-SHA256 RC4 HIGH	MD5 aNULL eNULL NULL EDH	兼容性：较好，支持的客户端较为广泛安全性：一般，新增支持GCM算法。
加密套件5	AES128-SHA:AES256-SHA AES128-SHA256:AES256-SHA256 HIGH	MEDIUM LOW aNULL eNULL EXPORT DES MD5 PSK RC4 DHE	仅支持RSA-AES-CBC算法。
加密套件6	ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256	-	兼容性：一般安全性：较好
安全加密套件	ECDHE-ECDSA-AES256-GCM-SHA384 HIGH	MEDIUM LOW aNULL eNULL DES MD5 PSK RC4 kRSA SRP 3DES DSS EXP CAMELLIA SHA1 SHA256 SHA384	在“加密套件1”的基础上，去除了对CBC算法的支持。推荐的安全配置，满足大多数安全场景。兼容性：一般，核心套件为ECDHE-ECDSA-AES256-GCM-SHA384，禁用了旧协议和弱加密算法，较低版本浏览器可能无法访问安全性：高
加密套件8	AESGCM HIGH ECDHE RSA	DH EXPORT RC4 MEDIUM LOW aNULL eNULL	支持AES-GCM，提供强加密和数据完整性保护。兼容性：较好，支持的客户端较为广泛安全性：较好

浏览器及客户端兼容说明

WAF提供的TLS加密套件对于高版本的浏览器及客户端都可以兼容，不能兼容部分老版本的浏览器，以TLS v1.0协议为例，加密套件不兼容的浏览器及客户端参考说明如表3所示。

建议您以实际客户端环境测试的兼容情况为准，避免影响现网业务。

表3 加密套件不兼容的浏览器/客户端参考说明（TLS v1.0）
浏览器/客户端	经典加密套件	加密套件1	加密套件2	加密套件3	加密套件4	加密套件5	加密套件6	安全加密套件	加密套件8
Google Chrome 63 /macOS High Sierra 10.13.2	×	√	√	√	×	√	√	√	√
Google Chrome 49/ Windows XP SP3	×	×	×	×	×	√	√	×	√
Internet Explorer 6/Windows XP	×	×	×	×	×	×	×	×	×
Internet Explorer 8/Windows XP	×	×	×	×	×	×	×	×	×
Safari 6/iOS 6.0.1	√	√	×	√	√	√	√	×	√
Safari 7/iOS 7.1	√	√	×	√	√	√	√	√	√
Safari 7/OS X 10.9	√	√	×	√	√	√	√	√	√
Safari 8/iOS 8.4	√	√	×	√	√	√	√	√	√
Safari 8/OS X 10.10	√	√	×	√	√	√	√	√	√
Internet Explorer 7/Windows Vista	√	√	×	√	√	×	√	×	√
Internet Explorer 8～10/Windows 7	√	√	×	√	√	×	√	×	√
Internet Explorer 10/Windows Phone 8.0	√	√	×	√	√	×	√	×	√
Java 7u25	√	√	×	√	√	×	√	×	√
OpenSSL 0.9.8y	×	×	×	×	×	×	×	×	√
Safari 5.1.9/OS X 10.6.8	√	√	×	√	√	×	√	×	√
Safari 6.0.4/OS X 10.8.4	√	√	×	√	√	×	√	×	√

选择开启PCI DSS之后，TLS配置将设置为：
- 最低TLS版本：TLS v1.2及以上
- 加密套件：加密套件2（EECDH+AESGCM:EDH+AESGCM）
选择开启PCI 3DS之后，最低TLS版本将被配置为TLS v1.2及以上

开启PCI DSS合规认证后，不能修改最低TLS版本和加密套件。如果您需要修改TLS最低版本和加密套件，请关闭该认证。
开启PCI 3DS合规认证后，不能修改最低TLS版本，且不可关闭该认证。
开启PCI DSS/3DS合规认证，可能影响较低版本浏览器客户端访问，请评估业务影响后再进行操作。

系统影响

PCI DSS
- 开启PCI DSS合规认证后，不能修改TLS最低版本和加密套件，且最低TLS版本将设置为“TLS v1.2”，加密套件设置为EECDH+AESGCM:EDH+AESGCM。
- 开启PCI DSS合规认证后，如果您需要修改TLS最低版本和加密套件，请关闭该认证。
PCI 3DS
- 开启PCI 3DS合规认证后，不能修改TLS最低版本，且最低TLS版本将设置为“TLS v1.2”。
- 开启PCI 3DS合规认证后，您将不能关闭该认证，请根据业务实际需求进行操作。

约束条件

功能	约束说明
接入方式限制	云模式-CNAME接入：支持该功能。独享模式接入：支持该功能。如果想使用TLS v1.3协议，需将独享引擎升级到最新版本，具体操作请参见升级独享引擎实例版本。云模式-ELB接入：不支持在WAF配置PCI DSS/3DS合规与TLS。可在ELB控制台配置TLS安全策略实现加密通信。
对外协议	“对外协议”为“HTTP”：HTTP不涉及TLS，无需配置PCI DSS/3DS合规与TLS。 “对外协议”为“HTTPS”：如果防护网站配置了多个服务器时，支持配置PCI DSS/3DS合规。开启PCI DSS/3DS合规后，将不支持修改“对外协议”，也不支持添加服务器。
企业项目	如果您已开通企业项目，您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限，才能为该企业项目下的域名配置PCI DSS/3DS合规与TLS。

前提条件

已添加防护网站且配置的“对外协议”包含HTTPS。

配置PCI DSS/3DS合规与TLS

登录Web应用防火墙控制台。
在控制台左上角，单击图标，选择区域或项目。
(可选) 如果您已开通企业项目，在左侧导航栏上方单击“按企业项目筛选”下拉框，选择您所在的企业项目。完成后，页面将为您展示该企业项目下的相关数据。
在左侧导航栏，单击“网站设置”。
在“网站设置”页面，单击目标网站域名。
在“基本信息”区域的“合规认证”行，勾选“PCI DSS”或“PCI 3DS”开启合规认证。
- 开启PCI DSS合规认证后，不能修改最低TLS版本和加密套件。如果您需要修改TLS最低版本和加密套件，请关闭该认证。
- 开启PCI 3DS合规认证后，不能修改最低TLS版本，且不可关闭该认证。
- 开启PCI DSS/3DS合规认证，可能影响较低版本浏览器客户端访问，请评估业务影响后再进行操作。
- PCI DSS
  - 开启PCI DSS合规认证
    勾选“PCI DSS”后，“最低TLS版本”默认为“TLS v1.2”，“加密套件”默认为“加密套件2”，且不支持修改“TLS配置”。
    
    图1 开启PCI DSS合规认证
  - 关闭PCI DSS合规认证
    如果需要修改TLS配置，可去勾选“PCI DSS”。
    
    关闭PCI DSS合规认证后，可修改最低TLS版本、加密套件。具体操作，请参见7。
- PCI 3DS
  - 开启PCI 3DS合规认证
    勾选“PCI 3DS”后，“最低TLS版本”默认为“TLS v1.2”，且不可修改；“加密套件”默认为“加密套件2”，支持修改。
    
    图2 开启PCI 3DS合规认证
  - 开启PCI 3DS合规认证后，不支持关闭
配置TLS。未开启PCI DSS/PCI 3DS合规认证时，可配置TLS。

单击“TLS配置”处的“修改”，在“TLS配置”面板，选择最低TLS版本、加密套件。
- 在配置TLS前，您可以先查看网站TLS版本。
- 关于最低TLS版本、加密套件的详细说明，请参见TLS。
- 如果是“国密证书”，仅支持“gmtls”的TLS版本和默认的加密套件。
图3 配置TLS

完成以上配置，您可以在客户端分别使用不同TLS版本访问域名，正常情况下，TLS版本低于v1.2的请求失败；TLS版本为v1.2及以上的请求成功。