本文档介绍如何在火山引擎内容分发网络(CDN)中对加速域名配置 TLS 版本的支持。
用户在使用浏览器访问启用了 HTTPS 加速的域名时,CDN 会根据浏览器的 TLS 版本支持情况以及加速域名支持的 TLS 版本,选择匹配的最高的 TLS 版本进行数据传输。如果 CDN 找不到匹配的 TLS 版本,TLS 握手失败,导致连接建立失败。
TLS 版本选择
越早版本的 TLS 兼容性越好,但是安全性越差。最新版本的 TLS 提供了最好的安全性,但是兼容性相对差一些。但是目前绝大部分浏览器都已支持 TLS 1.3。TLS 1.0 和 TLS 1.1 的版本较早,存在安全漏洞的风险。
CDN 支持所有 TLS 版本。但为了兼顾兼容性和安全性,在您开启 HTTPS 加密服务时,CDN 默认启用对 TLS 1.1,TLS 1.2 和 TLS 1.3 的支持。您可以按需手动启用 CDN 对 TLS 1.0 的支持。
关于 CDN 支持的 TLS 加密套件,参见 加密套件。
浏览器支持的 TLS 版本
TLS 版本与浏览器支持情况如下表。
TLS 版本 | 支持的浏览器 | 备注 |
|---|
TLS 1.0 | - Microsoft Internet Explorer 6+
- Google Chrome 1+
- Mozilla Firefox 2+
| TLS 1.0 和 TLS 1.1 的支持在以下版本的浏览器中被移除了: - Google Chrome 84+
- Microsoft Edge 84+
- Mozilla Firefox 78+
- Safari 14+
|
TLS 1.1 | - Microsoft Internet Explorer 11+
- Google Chrome 22+
- Microsoft Edge 12+
- Mozilla Firefox 24+
- Apple Safari 7+
- Opera 12.1+
|
TLS 1.2 | - Microsoft Internet Explorer 11+
- Google Chrome 30+
- Microsoft Edge 12+
- Mozilla Firefox 27+
- Apple Safari 7+
- Opera 16+
| |
TLS 1.3 | - Google Chrome 70+
- Microsoft Edge 79+
- Mozilla Firefox 63+
- Apple Safari 14+
- Opera 57+
| |
前提条件
要配置 TLS 版本的支持,您必须已对加速域名已 配置了证书。
操作步骤
- 登录 火山引擎内容分发网络控制台。
- 在左侧导航栏,点击 域名管理。
- 在 域名管理 页面,找到需要配置的域名,点击 管理。
- 定位 TLS 版本设置 模块。
- 如果您使用的是旧版域名管理页面,点击 编辑配置,然后在 HTTPS 配置 标签页中定位 TLS 版本设置 模块。
- 如果您使用的是新版域名管理页面,点击 编辑域名。在页面左侧的树状配置项列表中,定位 基础配置 > HTTPS 配置 > TLS 版本设置。如果该模块置灰,点击模块右边的 + 。
关于新旧版域名管理页面的区别,参见 新版域名配置。
- 在 TLS 版本设置 模块中,勾选需要 CDN 支持的 TLS 版本。
- 点击 提交编辑。
更多信息
CDN 支持的 TLS 加密套件
说明
在选择要使用的加密套件时,CDN 会根据服务器配置的套件优先级选择最优的套件。
TLS 版本 | 支持的加密套件 |
|---|
TLS 1.1 | - ECDHE-RSA-AES256-SHA
- ECDHE-ECDSA-AES256-SHA
- AES256-SHA
- CAMELLIA256-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-ECDSA-AES128-SHA
- AES128-SHA
- CAMELLIA128-SHA
|
TLS1.2 | - ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA
- ECDHE-ECDSA-AES256-SHA
- ECDHE-ECDSA-CHACHA20-POLY1305
- ECDHE-RSA-CHACHA20-POLY1305
- ECDHE-ECDSA-AES256-CCM8
- ECDHE-ECDSA-AES256-CCM
- ECDHE-RSA-CAMELLIA256-SHA384
- ECDHE-ECDSA-CAMELLIA256-SHA384
- AES256-GCM-SHA384
- AES256-CCM8
- AES256-CCM
- AES256-SHA256
- AES256-SHA
- CAMELLIA256-SHA256
- CAMELLIA256-SHA
- ARIA256-GCM-SHA384
- ECDHE-ECDSA-ARIA256-GCM-SHA384
- ECDHE-ARIA256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES128-CCM8
- ECDHE-ECDSA-AES128-CCM
- AES128-CCM8
- AES128-CCM
- ECDHE-RSA-CAMELLIA128-SHA256
- ECDHE-ECDSA-CAMELLIA128-SHA256
- AES128-GCM-SHA256
- AES128-SHA256
- AES128-SHA
- CAMELLIA128-SHA256
- CAMELLIA128-SHA
- ARIA128-GCM-SHA256
- ECDHE-ECDSA-ARIA128-GCM-SHA256
- ECDHE-ARIA128-GCM-SHA256
|
TLS1.3 | - TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
|
如何查看浏览器请求所使用的 TLS 版本
- 在浏览器中打开某个站点。譬如使用最新版本的 Google Chrome 打开 火山引擎官网。
- 按 F12 键打开开发者工具(DevTools)。
- 点击 安全 标签页。
- 在 安全 标签页上,留意红框中的内容。
文档反馈
问问助手