IBM Cloud Docs
Impostazione delle opzioni di Transport Layer Security (TLS)

Impostazione delle opzioni di Transport Layer Security (TLS)

Le opzioni di Transport Layer Security (TLS) consentono di controllare se i visitatori possono navigare sul vostro sito web attraverso una connessione sicura e, in tal caso, come IBM Cloud® Internet Services si connette al vostro server di origine.

Utilizzate l'ultima versione del protocollo TLS (TLS 1.3) per migliorare la sicurezza e le prestazioni, passando da Off a On.

Modalità di codifica TLS

Impostare la modalità TLS selezionando una delle seguenti opzioni dall'elenco Modalità.

Le opzioni sono elencate nell'ordine dalla più sicura alla meno sicura (Off):

  1. Origine autenticata: (solo per le aziende)
  2. HTTPS solo origine (solo Enterprise)
  3. CA firmata end-to-end (predefinita e consigliata)
  4. Flessibilità end-to-end (i certificati edge to origin possono essere autofirmati)
  5. Client-to-edge (edge to origin non crittografato, i certificati autofirmati non sono supportati)
  6. Off (non consigliato)

Origine autenticata

Solo per le imprese. In questa modalità, il certificato del client TLS viene presentato per l'autenticazione su origin pull. Per ulteriori informazioni, vedere Tirata di origine autenticata.

Pull origine solo HTTPS

Solo per le imprese. Questa modalità ha gli stessi requisiti del certificato End-to-End CA Signed. Inoltre, aggiorna tutte le connessioni tra CIS e il webserver di origine da HTTP a HTTPS, anche se il contenuto originale richiesto è su HTTP.

CA end-to-end firmato

Questa modalità è l'impostazione predefinita e consigliata. Esiste una connessione sicura tra il visitatore e CIS, e una connessione sicura e autenticata tra CIS e il vostro server web. Il server deve essere impostato per gestire le connessioni HTTPS, con un certificato TLS valido. Questo certificato deve essere firmato da un'autorità di certificazione, avere una data di scadenza nel futuro e rispondere al nome del dominio della richiesta (nome host). Si consiglia di continuare a utilizzare questa modalità TLS per le migliori pratiche di sicurezza, a meno che non si comprendano le potenziali minacce alla sicurezza derivanti dal passaggio a una modalità meno rigida.

Diagramma di{: caption="firmato CA end-to-endDiagramma di " caption-side="bottom"} firmato CA end-to-end

Flessibile end-to-end

In questa modalità, esiste una connessione sicura tra il visitatore e CIS e una connessione sicura ma non autenticata tra CIS e il server web. Il server deve essere impostato per gestire le connessioni HTTPS, almeno con un certificato autofirmato. L'autenticità di questo certificato non viene verificata; ad esempio, quando ci si connette al server web di origine, dal punto di vista di CIS, è considerato simile all'aggiramento di un messaggio di errore. Finché l'indirizzo del tuo server web di origine è corretto nelle tue impostazioni DNS, sai che ci stiamo collegando noi al tuo server web e non qualcun altro.

Diagramma di{: caption="flessibile end-to-endDiagramma di " caption-side="bottom"} flessibile end-to-end

Client-to-edge

In questa modalità, esiste una connessione sicura tra il visitatore e CIS, ma nessuna connessione sicura tra CIS e il server web. Non devi disporre di un certificato TLS sul tuo server web, ma i tuoi visitatori vedono ancora il tuo sito come abilitato HTTPS. Questa opzione non è consigliata se hai informazioni sensibili sul tuo sito web. Questa impostazione funziona solo per le porte da 443 a 80. Deve essere utilizzato solo come ultima risorsa se non si è in grado di configurare TLS sul proprio server web. È meno sicura di qualsiasi altra opzione (anche di "Off") e potrebbe causare problemi quando si decide di abbandonarla.

Diagramma di Client to edge
di Client to edge

Non attivo

In questa modalità, non esiste una connessione sicura tra i visitatori e CIS e tra CIS e il vostro server web. I visitatori possono visualizzare il vostro sito web solo tramite HTTP, e qualsiasi visitatore che tenti di connettersi utilizzando HTTPS riceve un HTTP 301 Redirect alla versione semplice HTTP del vostro sito web.

Diagramma di TLS
di TLS

Crittografia traffico - Versione TLS minima

Impostate la versione TLS minima per il traffico che tenta di connettersi al vostro sito, selezionando una delle versioni dall'elenco.

Per impostazione predefinita, questa versione è impostata su 1.2. Le versioni TLS più elevate offrono una maggiore sicurezza, ma potrebbero non essere supportate da tutti i browser, il che potrebbe impedire ad alcuni clienti di collegarsi al vostro sito.