了解 Cloudflare 所支持的 TLS 密码和协议。了解 Cloudflare SSL 证书支持的浏览器以及用于签署 Cloudflare 证书的中间证书和根证书。
Cloudflare TLS/SSL 密码支持
由于流量加密发生在网站访问者和 Cloudflare 之间或 Cloudflare 和您的源 Web 服务器之间,因此 Cloudflare 会区分:
Cloudflare 支持的源 Web 服务器 TLS/SSL 密码
根据 Cloudflare SSL/TLS 应用中指定的 SSL 选项,Cloudflare 可通过 HTTP 或 HTTPS 连接到源 Web 服务器。以下是 Cloudflare 在通过 HTTPS 连接到您的源 Web 服务器时,针对 TLS 1.3、TLS 1.2 和更早的 TLS 版本支持的源站 SSL 密码列表:
TLS 1.2 和更早的 TLS 版本:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA
- AES128-GCM-SHA256
- AES128-SHA
- ECDHE-RSA-AES256-SHA384
- AES256-SHA
- DES-CBC3-SHA
TLS 1.3:
密码套件名称(IANA) | 密码套件名称(八进制值) |
TLS_AES_128_GCM_SHA256 | {0x13,0x01} |
TLS_AES_256_GCM_SHA384 | {0x13,0x02} |
TLS_CHACHA20_POLY1305_SHA256 | {0x13,0x03} |
Cloudflare TLS/SSL 密码
客户端浏览器和 Web 服务器的配置决定所使用的密码套件,而不是 SSL 证书。当浏览器启动 HTTPS 连接时,它会发送它支持的密码套件列表。然后,Web 服务器会选择要使用的密码套件。
Cloudflare 目前更喜欢使用 AES128 协商连接。要使用 AES256,客户端的浏览器必须强制执行 256 位密码套件。我们对使用 AES128 的偏好将来可能会发生改变。
下面是 Cloudflare 针对 TLS 1.3 和 TLS 1.2 及更早版本支持的 SSL 密码列表,适用于付费计划的客户:
OpenSSL 名称 | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 |
ECDHE-ECDSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA | ✅ | ✅ | ✅ | ❌ |
AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA | ✅ | ✅ | ✅ | ❌ |
DES-CBC3-SHA | ✅ | ❌ | ❌ | ❌ |
AEAD-AES128-GCM-SHA256 | ❌ | ❌ | ❌ | ✅ |
AEAD-AES256-GCM-SHA384 | ❌ | ❌ | ❌ | ✅ |
AEAD-CHACHA20-POLY1305-SHA256 | ❌ | ❌ | ❌ | ✅ |
有关 Cloudflare SSL 配置的最新详细信息,请参阅我们的 SSL 配置公共存储库。
Cloudflare TLS/SSL 协议支持
Cloudflare 仅使用 TLS 1.0、TLS 1.1、TLS 1.2 和 TLS 1.3 在访问者和 Cloudflare 之间建立 SSL 连接。
TLS 1.2 在 2008 年成为行业标准。支付卡行业安全标准委员会(PCI SSC)和美国国家标准与技术研究院(NIST)都认可 TLS 1.2,以强化网络安全。
Cloudflare TLS/SSL 浏览器支持
与 Free plan 相比,Cloudflare 会为付费计划部署额外的 SSL 证书。这允许付费计划支持某些较旧的设备。有关当前浏览器支持的 SSL 协议和密码的信息,请访问 https://www.ssllabs.com/ssltest/viewMyClient.html。
付费 Cloudflare 计划中域的现代浏览器支持
Cloudflare SSL 证书使用使用者备用名称(SAN)扩展来支持同一 SSL 证书上的多个域。 此外,Dedicated Certificates 和 Universal SSL 证书使用服务器名称指示(SNI)和椭圆曲线数字签名算法(ECDSA)。SNI 和 ECDSA 证书适用于以下现代浏览器:
在 Windows Vista 或 OS X 10.6 或更高版本上安装的桌面浏览器:
- Internet Explorer 7
- Firefox 2
- Opera 8(已启用 TLS 1.1)
- Google Chrome v5.0.342.0
- Safari 2.1
移动浏览器:
- Mobile Safari for iOS 4.0
- Android 3.0(Honeycomb)和更高版本
- Windows Phone 7
Free Cloudflare 域上的现代浏览器支持
由于 Free plan 中针对 Cloudflare 域提供的 SSL 证书较少,因此对 Free 域的 SSL 浏览器支持仅限于稍微较新的浏览器:
支持的最低桌面浏览器:
- Firefox 2
- Windows Vista 上的 Internet Explorer 7
- Windows Vista 或 OS X 10.6:
- Chrome 5.0.342.0
- Opera 14
- Safari 4
支持的最低移动浏览器:
- iOS 4.0 上的 Mobile Safari
- Android 4.0(“Ice Cream Sandwich”)
- Windows Phone 7
用于签署 Cloudflare 证书的 SSL 中间证书和根证书
Universal SSL 证书由 Sectigo 或 Digicert 颁发。Dedicated SSL 和 SSL for SaaS 证书由 Digicert 颁发。
Sectigo
单击以展开下面的折叠内容,以获取有关用于签署以下 Cloudflare 证书的根证书和中间证书的详细信息:
级别 | 常用名称 | 序列 | SHA-1 指纹 | 下载 |
根 | AddTrust External CA Root | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
中间 1 | Sectigo ECC Certification Authority | 4352023FFAA8901F139FE3F4E5C1444E | AE223CBF20191B40D7FFB4EA5701B65FDC68A1CA | |
中间 2 | Sectigo ECC Domain Validation Secure Server CA 2 | 5B25CE6907C4265566D3390C99A954AD | 75CFD9BC5CEFA104ECC1082D77E63392CCBA5291 |
级别 | 常用名称 | 序列 | SHA-1 指纹 | 下载 |
根 | AddTrust External CA Root | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
中间 1 | Sectigo RSA Certification Authority | 2766EE56EB49F38EABD770A2FC84DE22 | F5AD0BCC1AD56CD150725B1C866C30AD92EF21B0 | |
中间 2 | Sectigo RSA Domain Validation Secure Server CA 2 | 0BA2D01DCBCB7776E8AC65097AC12541 | 0BC249478F120F146D5714970A088A3A30C9ED07 |
Digicert
单击以展开下面的折叠内容,以获取有关用于签署以下 Cloudflare 证书的根证书和中间证书的详细信息:
级别 | 常用名称 | 序列 | SHA-1 指纹 | 下载 |
根 | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
中间 | CloudFlare Inc ECC CA-2 | 0FF3E61639AA3D1A1265F41F8B34E5B6 | 6B53C3B358CEF368201F8741B9C5AEDEEA3861FA |
级别 | 常用名称 | 序列 | SHA-1 指纹 | 下载 |
根 | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
中间 | CloudFlare Inc RSA CA-1 | 060DD6C1D067901B5475FCFFC29E3137 | 2AA2B8A223DA08798599B54DE4121757ABA33341 |