功能说明
最低 TLS 版本也即当访问者通过 TLS 访问域名时,被允许访问的最低 TLS 版本。当前默认配置为 TLSv1.0,基于 PCI DSS 安全标准,可以选择最低 TLS 版本为 TLSv1.1。
应用场景
PCI DSS 最新合规标准已于 2018 年 6 月 30 日生效,该标准要求禁用低版本 TLS 协议(例如:TLSv1.0),HTTPS 配置应实施更安全的加密协议(TLSv1.1 或更高版本,强烈建议使用 TLS v1.2 ),以满足 PCI DSS 最新合规标准的要求,从而保护支付数据。
配置引导
登陆 CDN 控制台,进入 「HTTPS」配置页面,找到「最低 TLS 版本」配置项,点击【管理】按钮即可进入配置界面。
模式一:TLSv1.0
配置界面如下图所示:
选择该模式时, TLS 访问可以支持 TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3(如果该功能已开启),该选项为默认配置项。
模式二:TLSv1.1
配置界面如下图所示:
选择该模式时, 则使用 TLSv1.0 连接的访问者将被拒绝,仅支持使用 TLSv1.1、TLSv1.2、TLSv1.3(如果该功能已开启) 连接,请谨慎开启!
模式三:TLSv1.2
配置界面如下图所示:
选择该模式时, 则使用 TLSv1.0、TLSv1.1 连接的访问者将被拒绝,仅支持使用 TLSv1.2、TLSv1.3(如果该功能已开启) 连接,请谨慎开启!
模式四:TLSv1.3
配置界面如下图所示:
选择该模式时, 则使用 TLSv1.0、TLSv1.1、TLSv1.2 连接的访问者将被拒绝,仅支持使用 TLSv1.3(如果该功能已开启) 连接,请谨慎开启!
注意事项
- 默认的最低 TLS 版本为 TLSv1.0,如选择更高版本的 TLS 协议,需要评估兼容性问题(也即某些老的浏览器不支持较新的 TLS 版本)。
- 为了满足某些测试要求,如需设置最低 TLS 版本为 TLSv1.3,需要提前开启 TLS 1.3 功能。