Cloudflare SSL 密码、浏览器和协议支持

了解 Cloudflare 所支持的 TLS 密码和协议。了解 Cloudflare SSL 证书支持的浏览器以及用于签署 Cloudflare 证书的中间证书和根证书。


Cloudflare TLS/SSL 密码支持

由于流量加密发生在网站访问者和 Cloudflare 之间或 Cloudflare 和您的源 Web 服务器之间,因此 Cloudflare 会区分:

Cloudflare 支持的源 Web 服务器 TLS/SSL 密码

根据 Cloudflare SSL/TLS 应用中指定的 SSL 选项,Cloudflare 可通过 HTTP 或 HTTPS 连接到源 Web 服务器。以下是 Cloudflare 在通过 HTTPS 连接到您的源 Web 服务器时,针对 TLS 1.3、TLS 1.2 和更早的 TLS 版本支持的源站 SSL 密码列表:


TLS 1.2 和更早的 TLS 版本:

  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA
  • AES128-GCM-SHA256
  • AES128-SHA
  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA
  • DES-CBC3-SHA

TLS 1.3:

密码套件名称(IANA)

密码套件名称(八进制值)

TLS_AES_128_GCM_SHA256

{0x13,0x01}

TLS_AES_256_GCM_SHA384

{0x13,0x02}

TLS_CHACHA20_POLY1305_SHA256

{0x13,0x03}

 

Cloudflare TLS/SSL 密码

客户端浏览器和 Web 服务器的配置决定所使用的密码套件,而不是 SSL 证书。当浏览器启动 HTTPS 连接时,它会发送它支持的密码套件列表。然后,Web 服务器会选择要使用的密码套件。

Cloudflare 目前更喜欢使用 AES128 协商连接。要使用 AES256,客户端的浏览器必须强制执行 256 位密码套件。我们对使用 AES128 的偏好将来可能会发生改变。

下面是 Cloudflare 针对 TLS 1.3 和 TLS 1.2 及更早版本支持的 SSL 密码列表,适用于付费计划的客户:

 

OpenSSL 名称

TLS 1.0

TLS 1.1

TLS 1.2

TLS 1.3

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-CHACHA20-POLY1305

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-CHACHA20-POLY1305

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES128-SHA

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

DES-CBC3-SHA

AEAD-AES128-GCM-SHA256 

AEAD-AES256-GCM-SHA384 

AEAD-CHACHA20-POLY1305-SHA256

有关 Cloudflare SSL 配置的最新详细信息,请参阅我们的 SSL 配置公共存储库

使用 Universal SSL 的 Free 域名获得颁发 SHA2+ECDSA 证书。这需要支持椭圆曲线加密(ECC)和 SNI 的客户端浏览器。

Cloudflare TLS/SSL 协议支持

Cloudflare 仅使用 TLS 1.0、TLS 1.1、TLS 1.2 和 TLS 1.3 在访问者和 Cloudflare 之间建立 SSL 连接。

TLS 1.2 在 2008 年成为行业标准。支付卡行业安全标准委员会(PCI SSC)和美国国家标准与技术研究院(NIST)都认可 TLS 1.2,以强化网络安全。

由于安全漏洞,不支持 SSLv3。TLS 版本 1.0 由于易受 BEAST 和 POODLE 等攻击而被视为不安全。

Cloudflare TLS/SSL 浏览器支持

与 Free plan 相比,Cloudflare 会为付费计划部署额外的 SSL 证书。这允许付费计划支持某些较旧的设备。有关当前浏览器支持的 SSL 协议和密码的信息,请访问 https://www.ssllabs.com/ssltest/viewMyClient.html

付费 Cloudflare 计划中域的现代浏览器支持

Cloudflare SSL 证书使用使用者备用名称(SAN)扩展来支持同一 SSL 证书上的多个域。 此外,Dedicated CertificatesUniversal SSL 证书使用服务器名称指示(SNI)和椭圆曲线数字签名算法(ECDSA)。SNI 和 ECDSA 证书适用于以下现代浏览器:

在 Windows Vista 或 OS X 10.6 或更高版本上安装的桌面浏览器:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8(已启用 TLS 1.1)
  • Google Chrome v5.0.342.0
  • Safari 2.1

移动浏览器:

  • Mobile Safari for iOS 4.0
  • Android 3.0(Honeycomb)和更高版本
  • Windows Phone 7

Free Cloudflare 域上的现代浏览器支持

由于 Free plan 中针对 Cloudflare 域提供的 SSL 证书较少,因此对 Free 域的 SSL 浏览器支持仅限于稍微较新的浏览器:

支持的最低桌面浏览器:

  • Firefox 2
  • Windows Vista 上的 Internet Explorer 7
  • Windows Vista 或 OS X 10.6:
    • Chrome 5.0.342.0
    • Opera 14
    • Safari 4

支持的最低移动浏览器:

  • iOS 4.0 上的 Mobile Safari
  • Android 4.0(“Ice Cream Sandwich”)
  • Windows Phone 7

用于签署 Cloudflare 证书的 SSL 中间证书和根证书

Universal SSL 证书由 Sectigo 或 Digicert 颁发。Dedicated SSL 和 SSL for SaaS 证书由 Digicert 颁发。

Sectigo

单击以展开下面的折叠内容,以获取有关用于签署以下 Cloudflare 证书的根证书和中间证书的详细信息:

Digicert

单击以展开下面的折叠内容,以获取有关用于签署以下 Cloudflare 证书的根证书和中间证书的详细信息:


相关资源

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持