配置TLS
概述
为了保障您互联网通信的安全性和数据完整性,百度智能云CDN提供客户端和CDN节点连接上的TLS版本控制功能。您可以根据不同域名的需求,灵活地配置TLS协议版本。注意,这个配置并不能控制CDN节点和源站交互的TLS版本。
TLS(Transport Layer Security)即安全传输层协议,在两个通信应用程序之间提供保密性和数据完整性。最典型的应用就是HTTPS。HTTPS,即HTTP over TLS,就是安全的HTTP,运行在HTTP层之下,TCP层之上,为HTTP层提供数据加解密服务。
目前,TLS主要有4个版本:
TLS v1.0:RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。支持的主流浏览器: IE6+、Chrome 1+、Firefox 2+。
TLS v1.1:RFC4346,2006年发布,修复TLSv1.0若干漏洞。支持的主流浏览器:IE11+、Chrome22+、Firefox24+、Safri7+。
TLS v1.2:RFC5246,2008年发布,目前广泛使用的版本。支持的主流浏览器:IE11+、Chrome30+、Firefox27+、Safri7+。
TLS v1.3:RFC8446,2018年发布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密钥交换算法(更安全)。支持的主流浏览器:Chrome 70+和Firefox 63+。
以TLS1.2为例,一次完整的ssl握手有四步,如下图
注意:推荐开启 TLS 1.2 和 TLS 1.3。TLS 1.0 和 TLS 1.1 这两个旧版本协议使用的是过时的算法和加密系统,即使进行了一定的修补,安全性上也是略差一点的。
前提条件
在配置 TLS 前,您需要确保已成功配置 HTTPS 证书,配置详情请参考 配置HTTPS。
配置TLS
- 登录CDN管理控制台,进入“内容分发网络CDN”页面。
- 在左侧导航栏,点击域名管理。
- 进入域名管理页面,点击目标域名操作列的管理。
- 进入“CDN域名详情”页,在页面上方导航栏选择HTTPS配置页签。
- 进入HTTPS配置页面,在TLS版本控制模块,根据您的需要,开启或关闭对应的TLS版本。
说明: TLS协议版本开启或关闭后,您的加速域名也将开启或关闭TLS握手。