Cloudflare SSL 密码、浏览器和协议支持 – Cloudflare Support

了解 Cloudflare 所支持的 TLS 密码和协议。了解 Cloudflare SSL 证书支持的浏览器以及用于签署 Cloudflare 证书的中间证书和根证书。

Cloudflare TLS/SSL 密码支持
Cloudflare TLS/SSL 协议支持
Cloudflare TLS/SSL 现代浏览器支持
用于签署 Cloudflare 证书的 SSL 中间证书和根证书
相关资源

Cloudflare TLS/SSL 密码支持

由于流量加密发生在网站访问者和 Cloudflare 之间或 Cloudflare 和您的源 Web 服务器之间，因此 Cloudflare 会区分：

Cloudflare 支持的源 Web 服务器 TLS/SSL 密码，和
Cloudflare TLS/SSL 密码

Cloudflare 支持的源 Web 服务器 TLS/SSL 密码

根据 Cloudflare SSL/TLS 应用中指定的 SSL 选项，Cloudflare 可通过 HTTP 或 HTTPS 连接到源 Web 服务器。以下是 Cloudflare 在通过 HTTPS 连接到您的源 Web 服务器时，针对 TLS 1.3、TLS 1.2 和更早的 TLS 版本支持的源站 SSL 密码列表：

TLS 1.2 和更早的 TLS 版本：

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA
ECDHE-RSA-AES256-SHA384
AES256-SHA
DES-CBC3-SHA

TLS 1.3：

密码套件名称（IANA）	密码套件名称（八进制值）
TLS_AES_128_GCM_SHA256	{0x13,0x01}
TLS_AES_256_GCM_SHA384	{0x13,0x02}
TLS_CHACHA20_POLY1305_SHA256	{0x13,0x03}

Cloudflare TLS/SSL 密码

客户端浏览器和 Web 服务器的配置决定所使用的密码套件，而不是 SSL 证书。当浏览器启动 HTTPS 连接时，它会发送它支持的密码套件列表。然后，Web 服务器会选择要使用的密码套件。

Cloudflare 目前更喜欢使用 AES128 协商连接。要使用 AES256，客户端的浏览器必须强制执行 256 位密码套件。我们对使用 AES128 的偏好将来可能会发生改变。

下面是 Cloudflare 针对 TLS 1.3 和 TLS 1.2 及更早版本支持的 SSL 密码列表，适用于付费计划的客户：

OpenSSL 名称	TLS 1.0	TLS 1.1	TLS 1.2	TLS 1.3
ECDHE-ECDSA-AES128-GCM-SHA256	❌	❌	✅	❌
ECDHE-ECDSA-CHACHA20-POLY1305	❌	❌	✅	❌
ECDHE-RSA-AES128-GCM-SHA256	❌	❌	✅	❌
ECDHE-RSA-CHACHA20-POLY1305	❌	❌	✅	❌
ECDHE-ECDSA-AES128-SHA256	❌	❌	✅	❌
ECDHE-ECDSA-AES128-SHA	✅	✅	✅	❌
ECDHE-RSA-AES128-SHA256	❌	❌	✅	❌
ECDHE-RSA-AES128-SHA	✅	✅	✅	❌
AES128-GCM-SHA256	❌	❌	✅	❌
AES128-SHA256	❌	❌	✅	❌
AES128-SHA	✅	✅	✅	❌
ECDHE-ECDSA-AES256-GCM-SHA384	❌	❌	✅	❌
ECDHE-ECDSA-AES256-SHA384	❌	❌	✅	❌
ECDHE-RSA-AES256-GCM-SHA384	❌	❌	✅	❌
ECDHE-RSA-AES256-SHA384	❌	❌	✅	❌
ECDHE-RSA-AES256-SHA	✅	✅	✅	❌
AES256-GCM-SHA384	❌	❌	✅	❌
AES256-SHA256	❌	❌	✅	❌
AES256-SHA	✅	✅	✅	❌
DES-CBC3-SHA	✅	❌	❌	❌
AEAD-AES128-GCM-SHA256	❌	❌	❌	✅
AEAD-AES256-GCM-SHA384	❌	❌	❌	✅
AEAD-CHACHA20-POLY1305-SHA256	❌	❌	❌	✅

有关 Cloudflare SSL 配置的最新详细信息，请参阅我们的 SSL 配置公共存储库。

Cloudflare TLS/SSL 协议支持

Cloudflare 仅使用 TLS 1.0、TLS 1.1、TLS 1.2 和 TLS 1.3 在访问者和 Cloudflare 之间建立 SSL 连接。

TLS 1.2 在 2008 年成为行业标准。支付卡行业安全标准委员会（PCI SSC）和美国国家标准与技术研究院（NIST）都认可 TLS 1.2，以强化网络安全。

Cloudflare TLS/SSL 浏览器支持

与 Free plan 相比，Cloudflare 会为付费计划部署额外的 SSL 证书。这允许付费计划支持某些较旧的设备。有关当前浏览器支持的 SSL 协议和密码的信息，请访问 https://www.ssllabs.com/ssltest/viewMyClient.html。

付费 Cloudflare 计划中域的现代浏览器支持

Cloudflare SSL 证书使用使用者备用名称（SAN）扩展来支持同一 SSL 证书上的多个域。此外，Dedicated Certificates 和 Universal SSL 证书使用服务器名称指示（SNI）和椭圆曲线数字签名算法（ECDSA）。SNI 和 ECDSA 证书适用于以下现代浏览器：

在 Windows Vista 或 OS X 10.6 或更高版本上安装的桌面浏览器：

Internet Explorer 7
Firefox 2
Opera 8（已启用 TLS 1.1）
Google Chrome v5.0.342.0
Safari 2.1

移动浏览器：

Mobile Safari for iOS 4.0
Android 3.0（Honeycomb）和更高版本
Windows Phone 7

Free Cloudflare 域上的现代浏览器支持

由于 Free plan 中针对 Cloudflare 域提供的 SSL 证书较少，因此对 Free 域的 SSL 浏览器支持仅限于稍微较新的浏览器：

支持的最低桌面浏览器：

Firefox 2
Windows Vista 上的 Internet Explorer 7
Windows Vista 或 OS X 10.6：
- Chrome 5.0.342.0
- Opera 14
- Safari 4

支持的最低移动浏览器：

iOS 4.0 上的 Mobile Safari
Android 4.0（“Ice Cream Sandwich”）
Windows Phone 7

用于签署 Cloudflare 证书的 SSL 中间证书和根证书

Universal SSL 证书由 Sectigo 或 Digicert 颁发。Dedicated SSL 和 SSL for SaaS 证书由 Digicert 颁发。

Sectigo

单击以展开下面的折叠内容，以获取有关用于签署以下 Cloudflare 证书的根证书和中间证书的详细信息：

Digicert