Impostazione delle opzioni di Transport Layer Security (TLS)

Le opzioni di Transport Layer Security (TLS) consentono di controllare se i visitatori possono navigare nel sito web attraverso una connessione sicura e, in tal caso, come IBM Cloud® Internet Services si connette al server di origine.

Utilizzate l'ultima versione del protocollo TLS (TLS 1.3) per migliorare la sicurezza e le prestazioni, passando da Off a On.

Modalità di codifica TLS

Impostare la modalità TLS selezionando una delle seguenti opzioni dall'elenco Modalità.

Queste opzioni sono elencate nell'ordine dalla meno sicura (Off) alla più sicura (End-to-End CA signed).

Off (non consigliato)
Client-to-Edge (edge to origin non crittografato, i certificati autofirmati non sono supportati)
End-to-End flessibile (i certificati edge to origin possono essere autofirmati)
CA End-to-End firmata (predefinita e consigliata)
Tiro dell'origine solo HTTPS (solo Enterprise)

Non attivo

Nessuna connessione sicura tra il tuo visitatore e CIS e tra CIS e il tuo server web. I visitatori possono visualizzare il vostro sito web solo tramite HTTP, e ogni visitatore che tenta di connettersi tramite HTTPS riceve un HTTP 301 Redirect alla versione HTTP semplice del vostro sito web.

Client-to-Edge

Una connessione sicura tra il tuo visitatore e CIS, ma non tra CIS e il tuo server web. Non devi disporre di un certificato TLS sul tuo server web, ma i tuoi visitatori vedono ancora il tuo sito come abilitato HTTPS. Questa opzione non è consigliata se hai informazioni sensibili sul tuo sito web. Questa impostazione funziona solo per la porta 443->80. Dovrebbe essere utilizzata solo come ultima risorsa se non sei in grado di configurare TLS sul tuo server web. È meno sicura di qualsiasi altra opzione (anche di "Off") e potrebbe causare problemi quando si decide di abbandonarla.

Flessibile end-to-end

Una connessione sicura tra il tuo visitatore e CIS e una connessione sicura (ma non autenticata) tra CIS e il tuo server web. Il tuo server deve essere configurato per rispondere alle connessioni HTTPS, con almeno un certificato autofirmato. L'autenticità del certificato non viene verificata: dal punto di vista di CIS (quando ci colleghiamo al tuo server web di origine), equivale a ignorare questo messaggio di errore. Finché l'indirizzo del tuo server web di origine è corretto nelle tue impostazioni DNS, sai che ci stiamo collegando noi al tuo server web e non qualcun altro.

{: caption="flessibile end-to-endDiagramma di " caption-side="bottom"} flessibile end-to-end

CA end-to-end firmato

Predefinita e consigliata. Una connessione sicura tra il visitatore e CIS e una sicura e autenticata tra CIS e il suo server web. Il tuo server deve essere configurato per rispondere alle connessioni HTTPS, con un certificato TLS valido. Questo certificato deve essere firmato da un'autorità di certificazione, avere una data di scadenza nel futuro e rispondere al nome del dominio della richiesta (nome host). Si consiglia di continuare a utilizzare questa modalità TLS per le migliori pratiche di sicurezza, a meno che non si comprendano le potenziali minacce alla sicurezza derivanti dal passaggio a una modalità meno rigida.

{: caption="firmato CA end-to-endDiagramma di " caption-side="bottom"} firmato CA end-to-end

HTTPS Only Origin Pull

Solo per le imprese. Questa modalità ha gli stessi requisiti di certificato di End-to-End CA Signed ed esegue anche l'upgrade di tutte le connessioni tra CIS e il tuo server web di origine da HTTP a HTTPS, anche se il contenuto originale richiesto è su HTTP.

Crittografia traffico - Versione TLS minima

Impostate la versione TLS minima per il traffico che cerca di connettersi al vostro sito, selezionando una delle versioni dall'elenco.

L'impostazione predefinita è 1.2. Le versioni TLS successive a questa offrono sicurezza aggiuntiva, ma potrebbero non essere supportate da tutti i browser. Ciò potrebbe impedire ad alcuni clienti di collegarsi al tuo sito.