TLS安全策略
用戶在阿里云上部署的網(wǎng)站或應(yīng)用程序?qū)ヂ?lián)網(wǎng)提供服務(wù)時(shí),通常會(huì)配置HTTPS加密以確保數(shù)據(jù)的安全傳輸。針對(duì)HTTPS場(chǎng)景,ALB預(yù)置了部分常用的TLS安全策略以滿足加密需求,您可根據(jù)您的安全需求選擇合適的TLS安全策略,或者配置自定義TLS安全策略,從而保證您業(yè)務(wù)的安全性。
系統(tǒng)默認(rèn)策略
系統(tǒng)默認(rèn)策略有哪些
TLS安全策略包含了可選的TLS協(xié)議版本和配套的加密算法套件。TLS協(xié)議版本越高,加密通信的安全性越高,但是相較于低版本TLS協(xié)議,高版本TLS協(xié)議對(duì)瀏覽器的兼容性較差。
安全策略 | 支持的TLS協(xié)議版本 | 支持的加密算法套件 |
tls_cipher_policy_1_0 |
|
|
tls_cipher_policy_1_1 |
|
|
tls_cipher_policy_1_2 | TLSv1.2 |
|
tls_cipher_policy_1_2_strict | TLSv1.2 |
|
tls_cipher_policy_1_2_strict_with_1_3 |
|
|
系統(tǒng)默認(rèn)策略差異對(duì)比
下表中,?表示支持,-表示不支持。
安全策略 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ? | - | - | - | - |
v1.1 | ? | ? | - | - | - | |
v1.2 | ? | ? | ? | ? | ? | |
v1.3 | - | - | - | - | ? | |
CIPHER | ECDHE-ECDSA-AES128-GCM-SHA256 | ? | ? | ? | ? | ? |
ECDHE-ECDSA-AES256-GCM-SHA384 | ? | ? | ? | ? | ? | |
ECDHE-ECDSA-AES128-SHA256 | ? | ? | ? | ? | ? | |
ECDHE-ECDSA-AES256-SHA384 | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES128-GCM-SHA256 | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES256-GCM-SHA384 | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES128-SHA256 | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES256-SHA384 | ? | ? | ? | ? | ? | |
AES128-GCM-SHA256 | ? | ? | ? | - | - | |
AES256-GCM-SHA384 | ? | ? | ? | - | - | |
AES128-SHA256 | ? | ? | ? | - | - | |
AES256-SHA256 | ? | ? | ? | - | - | |
ECDHE-ECDSA-AES128-SHA | ? | ? | ? | ? | ? | |
ECDHE-ECDSA-AES256-SHA | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES128-SHA | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES256-SHA | ? | ? | ? | ? | ? | |
AES128-SHA | ? | ? | ? | - | - | |
AES256-SHA | ? | ? | ? | - | - | |
DES-CBC3-SHA | ? | ? | ? | - | - | |
TLS_AES_128_GCM_SHA256 | - | - | - | - | ? | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ? | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ? | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ? | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ? | |
自定義策略
什么時(shí)候使用自定義策略
ALB預(yù)置了部分常用的TLS安全策略以滿足通用需求,但當(dāng)您有特定的安全或合規(guī)需求時(shí),例如需要僅支持特定版本的TLS協(xié)議、禁用某些加密算法套件等,您可在ALB中自定義TLS安全策略并配置到監(jiān)聽中,從而進(jìn)一步提升業(yè)務(wù)的安全性。
如何配置自定義策略
完成以下操作,創(chuàng)建自定義策略。
在左側(cè)導(dǎo)航欄,選擇。
在TLS安全策略頁面,單擊自定義策略頁簽下的創(chuàng)建自定義策略。
在創(chuàng)建TLS安全策略對(duì)話框中,完成以下參數(shù)配置(本文僅給出強(qiáng)相關(guān)配置參數(shù)信息,其他參數(shù)可保持默認(rèn)值或根據(jù)實(shí)際情況修改)。配置完成后單擊新建。
配置
說明
名稱
輸入自定義策略名稱。
選擇最低版本
選擇最低TLS安全策略版本:
TLS 1.0及以上
TLS 1.1及以上
TLS 1.2及以上
啟用TLS 1.3版本
選擇是否啟用TLS 1.3版本。
重要如果啟用TLS 1.3版本,請(qǐng)至少選擇一個(gè)TLS 1.3的加密算法套件,否則可能無法成功建立連接。
選擇加密算法套件
選擇TLS版本支持的加密算法套件。
自定義策略創(chuàng)建完成后,需要在創(chuàng)建HTTPS監(jiān)聽時(shí)的配置SSL證書步驟使用,具體細(xì)節(jié)可參考添加HTTPS監(jiān)聽。
相關(guān)文檔
ALB的HTTPS監(jiān)聽詳細(xì)配置步驟與注意事項(xiàng)可參考添加HTTPS監(jiān)聽。
ALB配置自定義TLS安全策略的產(chǎn)品教程可參考ALB通過自定義TLS安全策略提升網(wǎng)站安全等級(jí)。
ALB的更多HTTPS應(yīng)用場(chǎng)景配置教程,您可參考配置全鏈路HTTPS訪問實(shí)現(xiàn)加密通信、單ALB實(shí)例配置多域名HTTPS網(wǎng)站、使用ALB部署HTTPS業(yè)務(wù)(雙向認(rèn)證)、使用ALB將HTTP訪問重定向至HTTPS。