【产品技术】TLS协议

TLS协议，即传输层安全性协议（Transport Layer Security，TLS），是一种安全协议，目的是为了保障互联网通信的安全和数据完整性。截止目前，TLS按发行年份，分了4个版本，即1.0、1.1、1.2和1.3，1.0和1.1版本由于发布时间久远，安全性能已经不能满足通信协议的安全标准。华为云Web应用防火墙为了满足行业客户的安全需求，发布定制化的TLS版本和加密套件配置功能。您可以根据不同域名的需求，在Web应用防火墙的控制台配置禁用低版本的TLS协议以及加密套件，做灵活的TLS版本支持配置，WAF还能通过AI、主动探测等技术识别针对HTTPS的攻击，消除潜在威胁，达到更高的安全防护要求。

TLS1.0版本于1999年发行，业内已经广泛认识到该版本容易受到各种攻击（BEAST、POODLE等）。为了保障通信协议的安全，满足支付卡行业数据安全标准（PCI DSS）， 支付卡行业安全标准委员会（PCI SSC）规定TLS1.0安全通信协议于2018年6月30日不再生效。火狐、Safari、Chrome、Edge等主流浏览器厂商也声明将于2020年全面停止支持TLS1.0和1.1。

防护场景

• 如果客户源站安全性能要求很高，只允许TLS1.2以上的版本的协议访问，则在WAF中，配置的最低TLS版本为TLS v1.2，WAF将自动拦截TLS1.0和1.1版本协议的访问请求。

• 如果客户源站安全性能要求一般，允许TLS1.1以上的版本的协议访问，则在WAF中，配置的最低TLS版本为TLS v1.1，WAF将自动拦截TLS1.0版本协议的访问请求。

• 如果客户端APP只支持TLS1.0的版本，为了确保访问正常，在WAF中，配置的最低TLS版本为TLS v1.0，此时，所有的TLS协议都可以访问源站。

TLS1.0和1.1版本的协议由于发布时间久远，某些加密算法已经不安全了，如SHA1、RC4算法，很容易被黑客攻击；在性能上，TLS1.0和1.1已经无法满足呈几何级增长的数据传输加密，存在安全隐患，性能不佳。如果您的客户端APP只支持TLS1.0和1.1版本，建议升级到TLS1.2以上的版本。

防护配置

    TLS配置

配置前，可以先通过“https://myssl.com/ssl.html”检测网站支持的TLS版本。

验证效果

假如源站配置了允许访问的最低TLS版本为TLS v1.2。

则TLS v1.1及以下协议不能正常访问网站。可通过以下命令在本地验证是否配置成功：

openssl s_client -connect XX.XX.32.443 -servername "XX.XXX.com" -tls1_X

如果能返回证书相关信息，则表示允许该TLS版本的协议访问目标网站，反之则表示拦截了该版本的TLS协议的访问。

• 验证TLS v1.1协议是否能访问目标网站。

没有获取到证书信息，表示TLS v1.1协议不能访问目标网站，WAF成功拦截了TLS v1.1协议的请求。

• 验证TLS v1.2协议是否能访问目标网站。

获取到证书信息，表示TLS v1.2协议能正常访问目标网站。