安全傳輸層協議（Transport Layer Security，TLS）在兩個通信應用程序之間提供保密性和數據完整性。HTTPS協議是由TLS+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議。當防護網站的“對外協議”使用了“HTTPS”時，您可以通過WAF為網站設置最低TLS版本和加密套件（多種加密算法的集合），對于低于最低TLS版本的請求，將無法正常訪問網站，以滿足行業客戶的安全需求。

WAF默認配置的最低TLS版本為TLS v1.0，加密套件為加密套件1，為了確保網站安全，建議您將網站的最低TLS版本和TLS加密套件配置為安全性更高TLS版本和加密套件。

前提條件

• 已添加防護網站。
• 防護網站的“對外協議”使用了HTTPS協議。

約束條件

• 當防護網站的“對外協議”為“HTTP”時，HTTP協議不涉及TLS，請忽略該章節。
• 如果防護網站配置了多個服務器時，“對外協議”都配置為“HTTPS”時，才支持配置PCI DSS/3DS合規。

應用場景

WAF默認配置的最低TLS版本為“TLS v1.0”，為了確保網站安全，建議您根據業務實際需求進行配置，推薦配置的最低TLS版本如下表所示。

WAF推薦配置的加密套件為“加密套件1”，可以滿足瀏覽器兼容性和安全性，各加密套件相關說明如下表所示。

加密套件名稱
支持的加密算法
不支持的加密算法
說明
默認加密套件
說明
WAF默認給網站配置的是“加密套件1”，但是如果請求信息不攜帶sni信息，WAF就會選擇缺省的“默認加密套件”。
ECDHE-RSA-AES256-SHA384
AES256-SHA256
RC4
HIGH
MD5
aNULL
eNULL
NULL
DH
EDH
AESGCM
兼容性：較好，支持的客戶端較為廣泛
安全性：一般
加密套件1
ECDHE-ECDSA-AES256-GCM-SHA384
HIGH
MEDIUM
LOW
aNULL
eNULL
DES
MD5
PSK
RC4
kRSA
3DES
DSS
EXP
CAMELLIA
推薦配置。
兼容性：較好，支持的客戶端較為廣泛
安全性：較高
加密套件2
EECDH+AESGCM
EDH+AESGCM
-
兼容性：一般，嚴格符合PCI DSS的FS要求，較低版本瀏覽器可能無法訪問。
安全性：高
加密套件3
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
RC4
HIGH
MD5
aNULL
eNULL
NULL
DH
EDH
兼容性：一般，較低版本瀏覽器可能無法訪問。
安全性：高，支持ECDHE、DHE-GCM、RSA-AES-GCM多種算法。
加密套件4
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-SHA384
AES256-SHA256
RC4
HIGH
MD5
aNULL
eNULL
NULL
EDH
兼容性：較好，支持的客戶端較為廣泛
安全性：一般，新增支持GCM算法。
加密套件5
AES128-SHA:AES256-SHA
AES128-SHA256:AES256-SHA256
HIGH
MEDIUM
LOW
aNULL
eNULL
EXPORT
DES
MD5
PSK
RC4
DHE
僅支持RSA-AES-CBC算法。
加密套件6
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
-
兼容性：一般
安全性：較好

WAF提供的TLS加密套件對于高版本的瀏覽器及客戶端都可以兼容，不能兼容部分老版本的瀏覽器，以TLS v1.0協議為例，加密套件不兼容的瀏覽器及客戶端參考說明如下表所示。

說明
建議您以實際客戶端環境測試的兼容情況為準，避免影響現網業務。

加密套件不兼容的瀏覽器/客戶端參考說明（TLS v1.0）：

系統影響

• PCI DSS
  • 開啟PCI DSS合規認證后，不能修改TLS最低版本和加密套件，且最低TLS版本將設置為“TLS v1.2”，加密套件設置為EECDH+AESGCM:EDH+AESGCM。
  • 開啟PCI DSS合規認證后，如果您需要修改TLS最低版本和加密套件，請關閉該認證。
• PCI 3DS
  • 開啟PCI 3DS合規認證后，不能修改TLS最低版本，且最低TLS版本將設置為“TLS v1.2”。
  • 開啟PCI 3DS合規認證后，您將不能關閉該認證，請根據業務實際需求進行操作。

操作步驟

1. 登錄管理控制臺。

2. 單擊管理控制臺右上角的，選擇區域。

3. 單擊頁面左上方的，選擇“安全 > Web應用防火墻（獨享版）”。

4. 在左側導航樹中，選擇“網站設置”，進入“網站設置”頁面。

5. 在目標網站所在行的“域名”列中，單擊目標網站，進入網站基本信息頁面。

6. 在“合規認證”行，可以勾選“PCI DSS”或“PCI 3DS”開啟合規認證，也可以在“TLS配置”所在行，單擊編輯按鈕修改TLS配置。

   

   • 勾選“PCI DSS”，系統彈出“警告”對話框，單擊“確定”，開啟該合規認證。

     說明
     選擇開啟PCI DSS合規認證后，您將不能修改TLS最低版本和加密套件。
     

   • 勾選“PCI 3DS”，系統彈出“警告”對話框，單擊“確定”，開啟該合規認證。

     說明
     選擇開啟PCI 3DS合規認證后，您將不能修改TLS最低版本。
     選擇開啟PCI 3DS合規認證后，您將不能關閉該認證，請根據業務實際需求進行操作。
     

7. 在彈出的“TLS配置”對話框中，選擇最低TLS版本和加密套件，如下圖所示。

   

   選擇“最低TLS版本”，相關說明如下：

   • 默認為TLS v1.0版本，TLS v1.0及以上版本的請求可以訪問域名。
   • 選擇TLS v1.1版本時，TLS v1.1及以上版本的請求可以訪問域名。
   • 選擇TLS v1.2版本時，TLS v1.2及以上版本的請求可以訪問域名。

8. 單擊“確定”，TLS配置完成。

生效條件

如果“最低TLS版本”配置為“TLS v1.2”，則TLS v1.2協議可以正常訪問網站，TLS v1.1及以下協議不能正常訪問網站。