設定傳輸層安全性 (TLS) 選項
透過傳輸層安全性 (TLS) 選項,您可以控制訪客是否可以透過安全連線瀏覽您的網站,以及當他們這樣做時,IBM Cloud® Internet Services 如何連接到您的來源伺服器。
透過從 Off
切換到 On
,使用最新版本的 TLS 協定 (TLS 1.3 ) 來提高安全性和效能。
TLS 加密模式
透過從模式清單中選擇以下選項之一來設定 TLS 模式。
這些選項是依最不安全(關閉)到最安全(端對端 CA 簽章)的順序列出。
- 關閉(不建議)
- 客戶端到邊緣 (邊緣到來源端未加密,不支援自簽名憑證)
- 端對端靈活 (邊緣到來源憑證可以自簽名)
- 端對端 CA 簽名 (預設和推薦)
- 僅 HTTPS 源拉取 (僅限企業)
關閉
在您的訪客與 CIS 之間沒有安全連線,而且 CIS 與您的 Web 伺服器之間沒有安全連線。 訪客只能透過 HTTP 查看您的網站,任何嘗試使用 HTTPS 連線的訪客都會收到 HTTP 301 Redirect
到您網站的純 HTTP 版本。
用戶端到邊緣
在您的訪客與 CIS 之間有安全連線,但 CIS 與您的 Web 伺服器之間沒有安全連線。 您在 Web 伺服器上不需要具有 TLS 憑證,但訪客仍然會看到網站已啟用 HTTPS。 如果您的網站上有任何機密性資訊,則不建議使用此選項。 此設定僅適用於連接埠 443->80。 只有在您無法在自己的 Web 伺服器上設定 TLS 時,才能使用它作為最後手段。 它比任何其他選項(甚至“關閉”) 安全性較低,並且當您決定放棄它時可能會給您帶來麻煩。
端對端彈性
在您的訪客與 CIS 之間有安全連線,而且 CIS 與您的 Web 伺服器之間有安全連線(但未經鑑別)。 您必須將伺服器配置成至少使用自簽憑證來回應 HTTPS 連線。 未驗證憑證的確實性:從 CIS 觀點(當我們連接至原點 Web 伺服器時)來看,這相當於略過此錯誤訊息。 只要原點 Web 伺服器的位址在 DNS 設定中是正確的,就表示我們正在連接至您的 Web 伺服器,而不是連接至其他 Web 伺服器。
端對端 CA 簽署
預設及建議。 訪客與 CIS 之間有安全連線,而且 CIS 與您的 Web 伺服器之間有安全且已鑑別的連線。 您必須將伺服器配置成使用有效的 TLS 憑證來回應 HTTPS 連線。 此憑證必須由憑證管理中心簽章、到期日為未來日期,並回應要求網域名稱(主機名稱)。 建議您繼續使用此 TLS 模式以獲得最佳安全實踐,除非您了解更改為不太嚴格的模式之一可能帶來的潛在安全威脅。
僅限 HTTPS 原點取回
僅限企業。 此模式的憑證需求與「端對端 CA 簽章」相同,也會將 CIS 與原點 Web 伺服器之間的所有連線從 HTTP 升級為 HTTPS,即使所要求的原點內容是透過 HTTP 也一樣。
資料流量加密 - 最低 TLS 版本
透過從清單中選擇版本之一,為嘗試連線到您的網站的流量設定最低 TLS 版本。
預設情況下,此設定為 1.2
。 越高的 TLS 版本可提供更多安全,但並非所有瀏覽器都支援該版本。 這可能會導致部分客戶無法連接至您的網站。