HTTPS协议是由TLS(Transport Layer Security,传输层安全性协议)+HTTP协议构建的可进行加密传输、身份认证的网络协议。当域名接入WAF时,如果客户端采用HTTPS协议请求访问服务器,即防护域名的“对外协议”配置为“HTTPS”时,您可以通过为域名配置最低TLS版本和加密套件来确保网站安全,详细说明如下:
最低TLS版本是客户端通过TLS访问网站时,被允许访问网站的最低TLS版本。配置最低TLS版本后,只有满足最低TLS版本的请求,才能正常访问网站,可以满足行业网站的安全需求。
WAF默认配置的最低TLS版本为“TLS v1.0”,为了确保网站安全,建议您根据业务实际需求进行配置,推荐配置的最低TLS版本如表1所示。
WAF默认配置的加密套件为“加密套件1”,可以满足浏览器兼容性和安全性,各加密套件相关说明如表2所示。
加密套件名称 |
加密算法 |
说明 |
---|---|---|
默认加密套件 |
ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM |
|
加密套件1 |
ECDHE-ECDSA-AES256-GCM-SHA384:HIGH:!MEDIUM:!LOW:!aNULL:!eNULL:!DES:!MD5:!PSK:!RC4:!kRSA:!SRP:!3DES:!DSS:!EXP:!CAMELLIA:@STRENGTH |
默认推荐配置。
|
加密套件2 |
EECDH+AESGCM:EDH+AESGCM |
|
加密套件3 |
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH |
|
加密套件4 |
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!EDH |
|
WAF提供的加密套件对于高版本的浏览器及客户端都可以兼容,不能兼容部分老版本的浏览器。TLS版本不同,加密套件的浏览器或客户端兼容情况也不同。以TLS v1.0协议为例,加密套件的浏览器及客户端兼容性说明如表3所示。
建议您以实际客户端环境测试的兼容情况为准,避免影响现网业务。
浏览器/客户端 |
默认加密套件 |
加密套件1 |
加密套件2 |
加密套件3 |
加密套件4 |
---|---|---|---|---|---|
Google Chrome 63 /macOS High Sierra 10.13.2 |
× |
√ |
√ |
√ |
× |
Google Chrome 49/ Windows XP SP3 |
× |
× |
× |
× |
× |
Internet Explorer 6/Windows XP |
× |
× |
× |
× |
× |
Internet Explorer 8/Windows XP |
× |
× |
× |
× |
× |
Safari 6/iOS 6.0.1 |
√ |
√ |
× |
√ |
√ |
Safari 7/iOS 7.1 |
√ |
√ |
× |
√ |
√ |
Safari 7/OS X 10.9 |
√ |
√ |
× |
√ |
√ |
Safari 8/iOS 8.4 |
√ |
√ |
× |
√ |
√ |
Safari 8/OS X 10.10 |
√ |
√ |
× |
√ |
√ |
Internet Explorer 7/Windows Vista |
√ |
√ |
× |
√ |
√ |
Internet Explorer 8~10/Windows 7 |
√ |
√ |
× |
√ |
√ |
Internet Explorer 10/Windows Phone 8.0 |
√ |
√ |
× |
√ |
√ |
Java 7u25 |
√ |
√ |
× |
√ |
√ |
OpenSSL 0.9.8y |
× |
× |
× |
× |
× |
Safari 5.1.9/OS X 10.6.8 |
√ |
√ |
× |
√ |
√ |
Safari 6.0.4/OS X 10.8.4 |
√ |
√ |
× |
√ |
√ |
以下介绍如何配置TLS最低版本为“TLS v1.2”,加密套件为“加密套件1”,以及如何验证配置效果。
WAF支持一键开启PCI DSS和PCI 3DS合规认证功能,开启合规认证后,可以满足PCI DSS和PCI 3DS合规认证要求。
假定“最低TLS版本”配置为“TLS v1.2”,验证TLS v1.2协议可以正常访问网站,验证TLS v1.1及以下协议不能正常访问网站。
您可以在本地通过命令行方式,验证TLS是否配置成功。在验证前,请确保您本地已安装openssl。
openssl s_client -connect WAF回源IP -servername "防护域名" -tls1_2
openssl s_client -connect WAF回源IP -servername "防护域名" -tls1_1
据国外媒体报道,今年的疫情,加速了企业向云计算的转变,全球云计算市场在未来...
1. HTTP 协议 在谈论 HTTPS 协议之前,先来回顾一下 HTTP 协议的概念。 1.1 HTTP...
Rainbond 5.3.1 发布 支持100 组件一键云原生交付 2021年7月5日 Rainbond 5.3.1 ...
1. 接口描述 接口请求域名: tcr.tencentcloudapi.com 。 查询命名空间列表或指...
数字时代,创新的时代。万千开发者汇聚智慧,启迪梦想,不断推动创新发生。成立1...
6月23日,在2021阿里巴巴研发效能峰会上,由阿里云云效团队20位专家共同撰写的《...
本文转载自公众号读芯术(ID:AI_Discovery) 下面这种模型你肯定见过,高德纳优势...
【51CTO.com快译】有数据表明:截至2019年,Cisco的客户中,有90%的公司已经将业...
本文转载自微信公众号「 小姐姐味道」,作者 小姐姐养的狗。转载本文请联系 小姐...
实例相关接口 接口名称 接口功能 DescribeLoadBalancers 查询负载均衡实例列表 C...