IBM Cloud Docs
TLS-Optionen (Transport Layer Security) festlegen

TLS-Optionen (Transport Layer Security) festlegen

Mit den Optionen für Transport Layer Security (TLS) können Sie steuern, ob Besucher Ihre Website über eine sichere Verbindung durchsuchen können, und wie IBM Cloud® Internet Services die Verbindung zu Ihrem Ursprungsserver herstellt.

Verwenden Sie die neueste Version des TLS-Protokolls (TLS 1.3), um die Sicherheit und Leistung durch einen Wechsel von Off zu On zu verbessern.

TLS-Verschlüsselungsmodi

Legen Sie den TLS-Modus fest, indem Sie in der Liste 'Modus' eine der folgenden Optionen auswählen.

Diese Optionen sind in der Reihenfolge von der sichersten bis zur unsichersten (Aus) aufgeführt:

  1. Authentifizierter Ursprungszug: (nur Unternehmen)
  2. Nur HTTPS-Origin-Pull (nur Enterprise)
  3. End-to-End-CA-signiert (empfohlene Standardeinstellung)
  4. End-to-End-flexibel (Zertifikate vom Edge zum Ursprung können selbst signiert sein)
  5. Client-zu-Edge (unverschlüsselte Verbindung vom Edge zum Ursprung; selbst signierte Zertifikate werden nicht unterstützt)
  6. Aus (nicht empfohlen)

Authenticated-Origin-Pull

Nur Unternehmen. In diesem Modus wird eine sichere Verbindung zwischen dem Besucher und CIS und eine sichere Verbindung zwischen CIS und Ihrem Webserver hergestellt. Wenn CIS eine Verbindung zu Ihrem Ursprungsserver herstellt, legt es ein Client-Zertifikat zur Authentifizierung vor. Dieses Verfahren stellt sicher, dass nur autorisierte Anfragen von CIS auf Ihren Ursprungsserver zugreifen können. Verwenden Sie diesen Modus, wenn Sie möchten, dass nur vertrauenswürdige Verbindungen Ihren Server erreichen können. Weitere Informationen finden Sie unter Authenticated origin pull.

Nur HTTPS - Ursprungs-Pull

Nur Unternehmen. In diesem Modus wird eine sichere Verbindung zwischen dem Besucher und CIS und eine sichere und authentifizierte Verbindung zwischen CIS und Ihrem Server hergestellt. Dieser Modus hat dieselben Zertifikatsanforderungen wie die End-to-End-CA-Signatur. Es aktualisiert jedoch alle Verbindungen zwischen CIS und Ihrem Ursprungs-Webserver von HTTP auf HTTPS, auch wenn der Besucher den ursprünglichen Inhalt über HTTP anfordert.

End-to-End - von CA signiert

Dieser Modus ist die Standardeinstellung und wird empfohlen. Es wird eine sichere Verbindung zwischen dem Besucher und CIS und eine sichere und authentifizierte Verbindung zwischen CIS und Ihrem Webserver hergestellt. Ihr Server muss für die Verarbeitung von HTTPS-Verbindungen eingerichtet sein und über ein gültiges TLS-Zertifikat verfügen. Dieses Zertifikat muss von einer Zertifizierungsstelle (CA) unterzeichnet sein, ein Ablaufdatum in der Zukunft haben und für den angeforderten Domänennamen (Hostnamen) gelten. Es wird empfohlen, diesen TLS-Modus aus Sicherheitsgründen zu verwenden, es sei denn, Sie sind sich der potenziellen Sicherheitsrisiken bewusst, die mit dem Wechsel zu einem der weniger strengen Modi verbunden sind.

Diagramm von Ende-zu-Ende-CA signiertem TLS
Ein Diagramm von Ende-zu-Ende-CA signiertem TLS

End-to-End - flexibel

In diesem Modus wird eine sichere Verbindung zwischen Ihrem Besucher und CIS aufgebaut, während eine sichere, aber nicht authentifizierte Verbindung zwischen CIS und Ihrem Webserver besteht. Ihr Server muss so eingerichtet sein, dass er HTTPS Verbindungen verarbeiten kann, zumindest mit einem selbstsignierten Zertifikat. Die Authentizität dieses Zertifikats wird jedoch nicht überprüft. CIS stellt eine Verbindung zu Ihrem Ursprungs-Webserver her, wenn die Adresse Ihres Ursprungs-Webservers in Ihren DNS-Einstellungen korrekt konfiguriert ist. Verwenden Sie diesen Modus, wenn Sie kein Zertifikat erhalten können, das von einer CA signiert ist. Beachten Sie, dass dieser Modus im Vergleich zum CA-signierten End-to-End-Modus weniger sicher ist.

Diagramm für ein flexibles End-to-End-TLS
Ein Diagramm für ein flexibles End-to-End-TLS

Client zu Edge

In diesem Modus wird eine sichere verschlüsselte Verbindung zwischen Ihrem Besucher und CIS und eine unsichere unverschlüsselte Verbindung zwischen CIS und Ihrem Webserver aufgebaut. Sie müssen kein TLS-Zertifikat auf Ihrem Web-Server haben, aber Ihren Besuchern wird die Website trotzdem als HTTPS-fähig angezeigt. Diese Option wird nicht empfohlen, wenn Sie sensible Inhalte auf Ihrer Website bereitstellen. Dieser Modus funktioniert nur für die Umleitung des Datenverkehrs von Port 443 ( HTTPS ) auf Port 80 ( HTTP ) und sollte nur als letzter Ausweg verwendet werden, wenn Sie nicht in der Lage sind, TLS auf Ihrem eigenen Webserver einzurichten. Sie ist unsicherer als alle anderen Optionen (sogar "Aus") und kann zu Problemen führen, wenn Sie sich entschließen, von dieser Option abzuweichen.

Diagramm von Client zu Edge TLS
Ein Diagramm von Client zu Edge TLS

Aus

In diesem Modus besteht keine sichere Verbindung zwischen Ihren Besuchern und CIS sowie zwischen CIS und Ihrem Webserver. Besucher können Ihre Website nur über HTTP aufrufen, und jeder Besucher, der versucht, eine Verbindung mit HTTPS herzustellen, erhält eine HTTP 301 Redirect zur einfachen HTTP-Version Ihrer Website. Dieser Modus wird nicht empfohlen, da er alle Daten offenlegt und im Vergleich zu den vorherigen Modi am wenigsten sicher ist.

Diagramm von TLS
Diagramm von TLS

Verschlüsselter Datenverkehr - Mindestversion von TLS

Legen Sie die minimale TLS-Version für Datenverkehr fest, der versucht, eine Verbindung zu Ihrer Website herzustellen, indem Sie eine der Versionen aus der Liste auswählen.

Standardmäßig ist diese Version auf 1.2 eingestellt. Höhere TLS-Versionen bieten zusätzliche Sicherheit, werden aber möglicherweise nicht von allen Browsern unterstützt, was einige Kunden daran hindern könnte, sich mit Ihrer Website zu verbinden.