概述
Transport Layer Security (TLS) 保证客户端和 Web 服务器之间通过 HTTPS 进行加密通信。它取代了现已弃用的安全套接字层 (SSL) 协议。 使用 TLS 加密网络流量时,用户会在浏览器窗口中的 URL 框附近看到一个绿色挂锁。
通过在 Cloudflare 控制面板的 Crypto 应用中设置Minimum TLS Version,您可以管理域在通过 Cloudflare 进行代理时使用的 TLS 版本。
选择最低版本可确保同时支持所有后续较新版本的协议。 TLS 1.0 是 Cloudflare 默认为使用基于证书的加密的所有客户设置的版本。在这种情况下,这意味着 Cloudflare 还接受使用 1.0 以上所有 TLS 版本加密的请求。
有关要使用的 TLS 版本的指导,请查看下面列出的信息。
了解 TLS 版本
更高的 TLS 版本意味着更强的加密标准。 TLS 1.2 包含先前版本中发现的已知漏洞的修复。
截至 2018 年 6 月,TLS 1.2 是支付卡行业(PCI)安全标准委员会要求的版本。Cloudflare 建议使用 TLS 1.2 以符合 PCI 要求。
TLS 1.3 于 2018 年 5 月获得互联网工程任务组(Internet Engineering Task Force, IETF)的批准,可提供额外的安全和性能改进。
确定要使用的版本
并非所有浏览器版本都支持 TLS 1.2 及更高版本。根据您的特定业务情况,这可能会在使用更强的加密标准方面带来一些限制。
考虑将 TLS 1.0 或 1.1 用于具有广泛用户群的站点,尤其是非事务性站点。这样,您可以最大限度地降低某些客户端可能无法安全连接到您的站点的可能性。
对于运行内部应用程序或业务和生产力应用程序的狭窄用户群和站点,Cloudflare 建议使用 TLS 1.2。 这些站点可能已经具有更严格的安全要求,或者可能须符合 PCI 合规性要求。 但是,您还需要确保用户升级到与 TLS 1.2 兼容的浏览器。
相关资源