Modos de criptografia TLS

Configure o modo de TLS selecionando uma das opções a seguir na Lista de modos.

Essas opções estão listadas na ordem da mais segura para a menos segura (Desligado):

1. Origem autenticada pull: (somente Enterprise)
2. Pull de origem somente HTTPS (somente Enterprise)
3. Assinado pela autoridade de certificação de ponta a ponta (padrão e recomendado)
4. De ponta a ponta flexível (os certificados de borda para origem podem ser autoassinados)
5. Cliente para borda (os certificados autoassinados não criptografados de borda para origem não são suportados)
6. Desativado (não recomendado)

Autoridade de Certificação assinada de ponta a ponta

Esse modo é a configuração padrão e recomendada. Existe uma conexão segura entre o visitante e CIS, e uma conexão segura e autenticada entre CIS e seu servidor da Web. Seu servidor deve estar configurado para lidar com conexões HTTPS, com um certificado TLS válido. Esse certificado deve ser assinado por uma autoridade de certificação, ter uma data de expiração no futuro e responder pelo nome de domínio de solicitação (nome do host). Recomenda-se que continuar usando esse modo de TLS para melhores práticas de segurança, a menos que você entenda as potenciais ameaças de segurança de mudar para um dos modos menos estritos.

Flexível de ponta a ponta

Nesse modo, existe uma conexão segura entre o visitante e o site CIS e uma conexão segura, mas não autenticada, entre o site CIS e o servidor da Web. Seu servidor deve estar configurado para lidar com conexões HTTPS, no mínimo com um certificado autoassinado. A autenticidade desse certificado não é verificada; por exemplo, quando nos conectamos ao seu servidor da Web de origem, de uma perspectiva CIS, isso é considerado semelhante a ignorar uma mensagem de erro. Contanto que o endereço de seu servidor de origem esteja correto em suas configurações de DNS, você sabe que nós estamos nos conectando ao seu servidor, não outra pessoa.

Cliente-de-borda

Nesse modo, existe uma conexão segura entre o visitante e CIS, mas não há conexão segura entre CIS e seu servidor da Web. Não é necessário ter um certificado TLS em seu servidor da web, mas seus visitantes ainda verão o site como sendo ativado por HTTPS. Essa opção não é recomendada se você possui alguma informação confidencial em seu website. Essa configuração funciona somente para as portas 443 a 80. Ele deve ser usado apenas como último recurso se não for possível configurar o TLS em seu próprio servidor da Web. Ela é menos segura do que qualquer outra opção (até mesmo a "Desligado") e pode causar problemas quando você decidir abandoná-la.

Desativado

Nesse modo, não há conexão segura entre seus visitantes e CIS, e entre CIS e seu servidor da Web. Os visitantes podem visualizar seu site somente em HTTP, e qualquer visitante que tente se conectar usando HTTPS recebe um HTTP 301 Redirect para a versão simples HTTP do seu site.

Criptografia de tráfego - Versão mínima de TLS

Defina a versão mínima do TLS para o tráfego que tenta se conectar ao seu site selecionando uma das versões da lista.

Por padrão, essa versão é definida como 1.2. As versões mais altas do TLS oferecem segurança adicional, mas podem não ser compatíveis com todos os navegadores, o que pode impedir que alguns clientes se conectem ao seu site.