IBM Cloud Docs
Establecimiento de opciones de Transport Layer Security (TLS)

Establecimiento de opciones de Transport Layer Security (TLS)

Las opciones de Transport Layer Security (TLS) le permiten controlar si los visitantes pueden examinar el sitio web sobre una conexión segura, y cuando lo hagan, cómo se conectará IBM Cloud® Internet Services a su servidor de origen.

Utilice la última versión del protocolo TLS (TLS 1.3) para mejorar la seguridad y el rendimiento cambiando de Off a On.

Modalidades de cifrado TLS

Establezca la modalidad TLS seleccionando una de las siguientes opciones en la lista Modalidad.

Estas opciones están listadas en el orden de menos seguras (Desactivado) a más seguras (Firmado por una entidad emisora de certificados de extremo a extremo).

Desactivado

No hay ninguna conexión segura entre el visitante y CIS, y no hay ninguna conexión segura entre CIS y el servidor web. Los visitantes solo pueden ver el sitio web mediante HTTP, y cualquier visitante que intente conectarse utilizando HTTPS recibe un HTTP 301 Redirect en la versión HTTP sin formato del sitio web.

Diagrama de TLS
diagrama de TLS

Cliente a extremo

Una conexión segura entre el visitante y CIS, pero ninguna conexión segura entre CIS y el servidor web. No es necesario tener un certificado TLS en el servidor web, pero sus visitantes seguirán viendo el sitio como habilitado para HTTPS. Esta opción no está recomendada si tiene cualquier información confidencial en el sitio web. Este valor solo funciona para el puerto 443->80. Solo debería utilizarse como último recurso si no puede configurar TLS en su propio servidor web. Es una opción menos segura que cualquier otra opción (incluso "Off"), y podría causarle problemas cuando decida cambiarla.

Diagrama de TLS de cliente a
diagrama de
de cliente a borde*

Extremo a extremo flexible

Una conexión segura entre el visitante y CIS, y una conexión segura (pero no autenticada) entre CIS y el servidor web. Debe tener el servidor configurado para responder a conexiones HTTPS, con al menos un certificado firmado automáticamente. La autenticidad del certificado no está verificada: desde el punto de vista de CIS (cuando conectamos a su servidor web de origen), es el equivalente de ignorar este mensaje de error. Mientras que la dirección del servidor web de origen sea correcta en los valores de DNS, sabrá que estamos conectando al servidor web, y no alguna otra persona.

Diagrama de TLS flexible de extremo a
diagrama de
flexible de extremo a extremo*

Firmado por una entidad emisora de certificados de extremo a extremo

Valor predeterminado y recomendado. Una conexión segura entre el visitante y CIS, y una conexión segura y autenticada entre CIS y el servidor web. Debe tener el servidor configurado para responder a conexiones HTTPS, con un certificado TLS válido. Este certificado debe estar firmado por una entidad emisora de certificados, tener una fecha de caducidad en el futuro, y responder al nombre de dominio de la solicitud (nombre de host). Se recomienda que siga utilizando este modo TLS para unas mejores prácticas de seguridad, a menos que entienda las amenazas de seguridad potenciales de cambiar a uno de los modos menos estrictos.

Diagrama de TLS firmado de extremo a extremo por
diagrama de
firmado de extremo a extremo por CA*

Extracción de origen de sólo HTTPS

Solo Enterprise. Esta modalidad tiene los mismos requisitos de certificado que la modalidad Firmado por una entidad emisora de certificados de extremo a extremo, y también actualiza todas las conexiones entre CIS y el servidor web de origen de HTTP a HTTPS, incluso si el contenido original solicitado es sobre HTTP.

Cifrado del tráfico: versión mínima de TLS

Establezca la versión mínima de TLS para el tráfico que intenta conectarse a su sitio seleccionando una de las versiones de la lista.

De forma predeterminada, se establece en 1.2. Las versiones de TLS más altas proporcionan seguridad adicional, pero es posible que no estén soportadas por todos los navegadores. Esto podría dar como resultado que algunos clientes no puedan conectarse a su sitio.