用戶在阿里云上部署的網站或應用程序對互聯網提供服務時,通常會配置HTTPS加密以確保數據的安全傳輸。針對HTTPS場景,CLB支持部分常用的TLS安全策略以滿足加密需求,您可根據您的安全需求選擇合適的TLS安全策略,從而保證您業務的安全性。
使用限制
性能保障型負載均衡實例在創建和配置HTTPS監聽時,支持選擇TLS安全策略。
如何選擇TLS安全策略
您可以在添加或者配置HTTPS監聽時,在SSL證書頁簽,單擊高級配置后面的修改,在展開項中選擇TLS安全策略。具體操作,請參見添加HTTPS監聽。
TLS安全策略有哪些
TLS安全策略包含了可選的TLS協議版本和配套的加密算法套件。TLS協議版本越高,加密通信的安全性越高,但是相較于低版本TLS協議,高版本TLS協議對瀏覽器的兼容性較差。
安全策略 | 支持TLS協議版本 | 支持的加密算法套件 |
tls_cipher_policy_1_0 |
| ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA |
tls_cipher_policy_1_1 |
| ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA |
tls_cipher_policy_1_2 | TLSv1.2 | ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA |
tls_cipher_policy_1_2_strict | TLSv1.2 | ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA |
tls_cipher_policy_1_2_strict_with_1_3 |
| TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_AES_128_CCM_SHA256、TLS_AES_128_CCM_8_SHA256、ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA |
TLS安全策略差異對比
下表中的?表示支持,-表示不支持。
安全策略 | tls_cipher_policy_1_0 | tls_cipher_policy_1_1 | tls_cipher_policy_1_2 | tls_cipher_policy_1_2_strict | tls_cipher_policy_1_2_strict_with_1_3 | |
TLS | v1.0 | ? | - | - | - | - |
v1.1 | ? | ? | - | - | - | |
v1.2 | ? | ? | ? | ? | ? | |
v1.3 | - | - | - | - | ? | |
CIPHER | ECDHE-RSA-AES128-GCM-SHA256 | ? | ? | ? | ? | ? |
ECDHE-RSA-AES256-GCM-SHA384 | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES128-SHA256 | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES256-SHA384 | ? | ? | ? | ? | ? | |
AES128-GCM-SHA256 | ? | ? | ? | - | - | |
AES256-GCM-SHA384 | ? | ? | ? | - | - | |
AES128-SHA256 | ? | ? | ? | - | - | |
AES256-SHA256 | ? | ? | ? | - | - | |
ECDHE-RSA-AES128-SHA | ? | ? | ? | ? | ? | |
ECDHE-RSA-AES256-SHA | ? | ? | ? | ? | ? | |
AES128-SHA | ? | ? | ? | - | - | |
AES256-SHA | ? | ? | ? | - | - | |
DES-CBC3-SHA | ? | ? | ? | - | - | |
TLS_AES_256_GCM_SHA384 | - | - | - | - | ? | |
TLS_CHACHA20_POLY1305_SHA256 | - | - | - | - | ? | |
TLS_AES_128_CCM_SHA256 | - | - | - | - | ? | |
TLS_AES_128_CCM_8_SHA256 | - | - | - | - | ? | |
ECDHE-ECDSA-AES128-GCM-SHA256 | - | - | - | - | ? | |
ECDHE-ECDSA-AES256-GCM-SHA384 | - | - | - | - | ? | |
ECDHE-ECDSA-AES128-SHA256 | - | - | - | - | ? | |
ECDHE-ECDSA-AES256-SHA384 | - | - | - | - | ? | |
ECDHE-ECDSA-AES128-SHA | - | - | - | - | ? | |
ECDHE-ECDSA-AES256-SHA | - | - | - | - | ? | |
常見問題
CLB支持配置自定義TLS安全策略嗎?
CLB不支持自定義TLS安全策略。
負載均衡產品家族中ALB與NLB支持配置自定義TLS安全策略,如您有自定義TLS安全策略需求,建議您使用ALB與NLB。
負載均衡SLB產品家族介紹及ALB、NLB、CLB功能對比,您可參考負載均衡SLB產品家族介紹。
使用七層監聽時您可使用ALB,ALB產品介紹可參考什么是應用型負載均衡ALB,ALB的TLS安全策略介紹可參考TLS安全策略,ALB配置自定義TLS安全策略的產品教程可參考ALB通過自定義TLS安全策略提升網站安全等級。
使用四層監聽時您可使用NLB,NLB產品介紹可參考什么是網絡型負載均衡NLB,NLB的TLS安全策略介紹可參考TLS安全策略。
相關文檔
CLB的HTTPS監聽詳細配置步驟與注意事項可參考添加HTTPS監聽,配置過程中如遇問題可參考七層監聽(HTTPS或HTTP)FAQ定位解決。
CLB的更多HTTPS應用場景配置教程,您可參考使用CLB部署HTTPS業務(單向認證)、使用CLB部署HTTPS業務(雙向認證)、將HTTP訪問重定向至HTTPS、單CLB實例配置多域名HTTPS網站。