Configurando opções de Segurança da Camada de Transporte (TLS)
As opções de Segurança da Camada de Transporte (TLS) permitirão controlar se os visitantes podem navegar em seu website sobre uma conexão segura e, se eles o fizerem, como o IBM Cloud® Internet Services se conectará ao seu servidor de origem.
Use a versão mais recente do protocolo TLS (TLS 1.3) para segurança e desempenho melhorados, alternando de Off para On.
Modos de criptografia TLS
Configure o modo de TLS selecionando uma das opções a seguir na Lista de modos.
Essas opções são listadas na ordem do menos seguro (Desativado) para o mais seguro (Assinado pela CA de ponta a ponta).
- Desativado (não recomendado)
- Cliente para borda (os certificados autoassinados não criptografados de borda para origem não são suportados)
- De ponta a ponta flexível (os certificados de borda para origem podem ser autoassinados)
- Assinado pela autoridade de certificação de ponta a ponta (padrão e recomendado)
- Pull de origem somente HTTPS (somente Enterprise)
Desativado
Nenhuma conexão segura entre o seu visitante e o CIS e nenhuma conexão segura entre o CIS e o seu servidor da web. Os visitantes somente podem visualizar seu website sobre HTTP e qualquer visitante que tentar se conectar usando HTTPS receberá
um HTTP 301 Redirect para a versão HTTP simples de seu website.
Cliente para a borda
Uma conexão segura entre o seu visitante e o CIS, mas nenhuma conexão segura entre o CIS e o seu servidor da web. Não é necessário ter um certificado TLS em seu servidor da web, mas seus visitantes ainda verão o site como sendo ativado por HTTPS. Essa opção não é recomendada se você possui alguma informação confidencial em seu website. Essa configuração funciona somente para a porta 443 -> 80. Ela deve ser usada somente como um último recurso se você não é capaz de configurar o TLS em seu próprio servidor da web. Ele é menos seguro do que qualquer outra opção (até mesmo "desativado"), e pode causar problemas quando você decidir sair dele.
Flexível de ponta a ponta
Uma conexão segura entre o seu visitante e o CIS e uma conexão segura (mas não autenticada) entre o CIS e o seu servidor da web. Deve-se ter o servidor configurado para responder a conexões HTTPS, com pelo menos um certificado autoassinado. A autenticidade do certificado não é verificada: do ponto de vista do CIS (quando conectamos ao seu servidor da web de origem) é o equivalente a ignorar essa mensagem de erro. Contanto que o endereço de seu servidor de origem esteja correto em suas configurações de DNS, você sabe que nós estamos nos conectando ao seu servidor, não outra pessoa.
Assinado pela autoridade de certificação de ponta a ponta
Padrão e recomendado. Uma conexão segura entre o visitante e o CIS e a conexão segura e autenticada entre o CIS e o seu servidor da web. Deve-se ter o servidor configurado para responder a conexões HTTPS, com um certificado TLS válido. Esse certificado deve ser assinado por uma autoridade de certificação, ter uma data de expiração no futuro e responder pelo nome de domínio de solicitação (nome do host). Recomenda-se que continuar usando esse modo de TLS para melhores práticas de segurança, a menos que você entenda as potenciais ameaças de segurança de mudar para um dos modos menos estritos.
Pull de origem somente HTTPS
Apenas Enterprise. Esse modo tem os mesmos requisitos de certificado que o CA de Ponta a ponta assinado e também faz upgrade de todas as conexões entre o CIS e o seu servidor da web de origem de HTTP para HTTPS, mesmo se o conteúdo original solicitado for sobre HTTP.
Criptografia de tráfego - Versão mínima de TLS
Configure a versão mínima de TLS para o tráfego que tenta se conectar ao seu site selecionando uma das versões da lista.
Por padrão, isso é configurado como 1.2. As versões mais altas do TLS fornecem segurança adicional, mas podem não ser suportadas por todos os navegadores. Isso pode fazer com que alguns clientes não consigam se conectar ao seu site.