如果已通过CNAME接入Web应用防火墙(Web Application Firewall,简称WAF)防护的网站使用的是HTTPS协议传输数据,WAF支持对该网站域名自定义TLS协议版本和加密套件,拦截不在指定范围内的TLS协议版本和加密套件的访问流量。本文介绍如何配置自定义TLS和加密套件。

前提条件

  • 域名已通过CNAME接入完成网站接入。具体操作,请参见添加域名
  • 网站域名使用的是HTTPS协议且已上传了HTTPS证书。具体操作,请参见上传HTTPS证书

操作步骤

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择资产中心 > 网站接入
  3. 域名列表页签,定位到需要配置TLS的域名,确认域名对应的接入模式Cname接入源站信息对应的证书状态为更新证书,然后单击操作列的TLS配置
    重要 只有使用了HTTPS协议的网站域名需要配置TLS。如果网站域名使用的是HTTP协议或者使用HTTPS协议但是未上传HTTPS证书,操作列不显示TLS配置
    TLS配置
  4. TLS安全策略配置页面,配置TLS协议版本和加密套件,单击保存
    配置项 说明
    域名 需要自定义配置TLS的网站域名。此项已自动填写,无需您手动设置。
    TLS协议版本 选择网站使用的TLS版本。可选项:
    • 支持TLS 1.0及以上版本,兼容性最高,安全性较低:选择该项表示对TLS 1.0及以上所有版本生效。
    • 支持TLS 1.1及以上版本,兼容性较好,安全性较好:选择该项表示对TLS 1.1及以上所有版本生效,使用TLS 1.0将无法访问该网站。
    • 支持TLS 1.2及以上版本,兼容性较好,安全性最高:选择该项表示对TLS 1.2及以上所有版本生效,使用TLS 1.0和1.1将无法访问该网站。
    开启TLS 1.3 支持同时开启TLS 1.3。
    加密套件 选择您需要使用的加密套件类型。可选项:
    • 全部加密套件,兼容性最高,安全性较低,支持以下强加密套件和弱加密套件:
      • 强加密套件
        • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
      • 弱加密套件
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
        • TLS_RSA_WITH_AES_128_GCM_SHA256
        • TLS_RSA_WITH_AES_256_GCM_SHA384
        • TLS_RSA_WITH_AES_128_CBC_SHA256
        • TLS_RSA_WITH_AES_256_CBC_SHA256
        • TLS_RSA_WITH_AES_128_CBC_SHA
        • TLS_RSA_WITH_AES_256_CBC_SHA
        • SSL_RSA_WITH_3DES_EDE_CBC_SHA
    • 协议版本的自定义加密套件,请谨慎选择,避免影响业务