了解 CDN 对 TLS⧸SSL 版本的支持

边缘云CDN与加速技术服务知识库
前言

火山引擎 CDN 提供 TLS 版本控制功能,您可以根据不同域名的需求,灵活地配置 TLS 协议版本,低版本的 TLS 协议将提供对老版本浏览器的支持,但是协议的安全性相对更差一些,高版本的 TLS 协议将提供更高的安全性,但是对老版本浏览器的兼容性相对差一些。 同时,还有一部分用户可能对 TLS/SSL 版本的区别会有一些疑问。那么通过本文,您可以了解 TLS/SSL 的概念、使用场景和火山引擎 CDN 的 TLS 版本配置方法。

背景信息

TLS(Transport Layer Security)即安全传输层协议,在两个通信应用程序之间提供保密性和数据完整性,最典型的应用就是 HTTPS。HTTPS 即 HTTP over TLS,就是更安全的 HTTP,运行在 HTTP 层之下,TCP 层之上,为 HTTP 层提供数据加解密服务。

浏览器对 TLS 版本的支持情况

TLS版本说明支持的浏览器
TLSv1.0RFC2246,1999年发布,基于SSLv3.0,该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。图片
TLSv1.1RFC4346,2006年发布,修复TLSv1.0若干漏洞。图片
TLSv1.2RFC5246,2008年发布,目前广泛使用的版本。图片
TLSv1.3RFC8446,2018年发布,最新的TLS版本,支持0-RTT模式(更快),只支持完全前向安全性密钥交换算法(更安全)。图片

TLS 1.0 和 TLS 1.1 的支持在以下版本的浏览器中被移除了:

  • Google Chrome 84+
  • Microsoft Edge 84+
  • Mozilla Firefox 78+
  • Safari 14+

TLS 版本配置步骤

要配置 TLS 版本的支持,加速域名必须已经启用 HTTPS 加速。 默认开启 TLSv1.0、TLSv1.1 和 TLSv1.2 版本。如需修改,请参考配置 TLS 版本支持操作手册。

推荐配置

场景推荐配置
兼容老客户同时对安全协议没那么高要求。开启TLSv1.0、TLSv1.1和TLSv1.2版本。
对浏览器安全协议要求非常高(牺牲一部分用户体验换取更安全的协议)。仅开启TLSv1.2版本。
尝鲜新技术开启TLSv1.0、TLSv1.1、TLSv1.2和TLSv1.3版本。

由于 SSLv3.0 及以下存在安全问题,且已被废弃,不建议使用。因此,火山引擎 CDN 服务默认也是未开启 SSLv3.0 及以下版本的。

如果您有其他问题,欢迎您联系火山引擎技术支持服务

29
0
0
0
相关产品
评论
未登录
看完啦,登录分享一下感受吧~
暂无评论