边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

TLS 版本及密码套件说明

本文介绍了 EdgeOne 对 TLS 握手时允许使用的协议版本和密码套件的支持情况。

什么是 TLS 协议版本?

TLS(Transport Layer Security)协议是一种用于加密网络通信的安全协议,它是 SSL(Secure Sockets Layer)协议的继任者,允许客户端/服务器应用程序之间进行加密通信。 TLS 协议有多个版本,包括 TLS 1.0、TLS 1.1、TLS 1.2 和 TLS 1.3,TLS 1.3是最新的版本,提供了更安全、更高效的加密机制。

什么是密码套件?

密码套件是一组加密算法,用于安全传输层协议(TLS)中的安全连接。TLS 密码套件由认证,加密和消息认证码(MAC)三个部分组成,它们提供安全性和可靠性,保护传输中的数据免受第三方窃取。在 TLS 握手过程中,客户端和服务器会协商一个可以使用的密码套件(客户端和服务器会根据它们支持的密码套件列表来确定使用哪个密码套件),以便客户端和服务器之间的通信可以使用该密码套件进行加密。

使用场景

EdgeOne 默认启用所有 TLS 版本,密码套件为 eo-loose-v2023,可以满足大部分客户需求,若您对安全性有更高要求,可自定义调整:
业务场景
TLS 版本
密码套件
注重兼容旧版浏览器,对安全性要求可适当放宽。
1.0、1.1、1.2
eo-loose-v2023
需兼顾浏览器的兼容性和安全性,安全性和兼容性均为适中
1.2、1.3
eo-general-v2023
安全性要求高,可降低浏览器兼容性,需屏蔽所有可能存在安全漏洞的 TLS 版本和密码套件
1.2、1.3
eo-strict-v2023

当前 EdgeOne 支持的 TLS 协议版本和密码套件

EdgeOne 支持的 TLS 版本如下:
TLS 1.0
TLS 1.1
TLS 1.2
TLS 1.3
OpenSSL 密码套件
TLS 1.3
TLS 1.2
TLS 1.1
TLS 1.0
TLS_AES_256_GCM_SHA384
-
-
-
TLS_CHACHA20_POLY1305_SHA256
-
-
-
TLS_AES_128_GCM_SHA256
-
-
-
TLS_AES_128_CCM_SHA256
-
-
-
TLS_AES_128_CCM_8_SHA256
-
-
-
ECDHE-ECDSA-AES256-GCM-SHA384
-
-
-
ECDHE-ECDSA-AES128-GCM-SHA256
-
-
-
ECDHE-RSA-AES256-GCM-SHA384
-
-
-
ECDHE-RSA-AES128-GCM-SHA256
-
-
-
ECDHE-ECDSA-CHACHA20-POLY1305
-
-
-
ECDHE-RSA-CHACHA20-POLY1305
-
-
-
ECDHE-ECDSA-AES256-SHA384
-
-
-
ECDHE-ECDSA-AES128-SHA256
-
-
-
ECDHE-RSA-AES256-SHA384
-
-
-
ECDHE-RSA-AES128-SHA256
-
-
-
ECDHE-RSA-AES256-SHA
-
-
ECDHE-RSA-AES128-SHA
-
-
AES256-GCM-SHA384
-
-
-
AES128-GCM-SHA256
-
-
-
AES256-SHA256
-
-
-
AES128-SHA256
-
-
-
AES256-SHA
-
-
AES128-SHA
-
-
EdgeOne 支持在 TLS 协议版本的基础之上,为用户提供不同的强度的密码套件选择:
eo-strict-v2023:安全性要求高,禁用所有不安全的密码套件。
eo-general-v2023:需兼顾浏览器的兼容性和安全性,安全性和兼容性均为适中。
eo-loose-v2023(默认):注重兼容旧版浏览器,对安全性要求可适当放宽。
OpenSSL 密码套件
eo-strict-v2023
eo-general-v2023
eo-loose-v2023
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
TLS_AES_128_CCM_SHA256
-
TLS_AES_128_CCM_8_SHA256
-
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
-
ECDHE-ECDSA-AES128-SHA256
-
ECDHE-RSA-AES256-SHA384
-
ECDHE-RSA-AES128-SHA256
-
ECDHE-RSA-AES256-SHA
-
-
ECDHE-RSA-AES128-SHA
-
-
AES256-GCM-SHA384
-
-
AES128-GCM-SHA256
-
-
AES256-SHA256
-
-
AES128-SHA256
-
-
AES256-SHA
-
-
AES128-SHA
-
-
您可根据自身业务的安全和兼容性需求配置 TLS 版本及密码套件,最终支持的 OpenSSL 密码套件取 TLS 版本和密码套件选项对应内容的交集,例如:
TLS 版本开启 TLS 1.3,且密码套件选项选择 eo-strict-v2023,则最终支持的 OpenSSL 密码套件为 TLS 1.3eo-strict-v2023 支持的交集:TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256。

了解更多