SSL/TLS概述

若您的域名需要使用HTTPS安全传输，您可以在加速项目【TLS配置】页签下进行SLL/TLS相关配置。以下将为您介绍TLS相关功能配置。

TLS证书

配置加速项目域名使用的TLS证书，即，用户对加速域名发起HTTPS请求时，客户端和CDN Pro平台进行SSL/TLS加解密时所使用的TLS证书。

点击下拉选择需要配置到加速项目上的证书。此处，您选择的TLS证书的授权域名应该包含加速项目配置的加速域名。例如，证书X授权域名为*.wangsu.com，而您的加速域名为www.wangsu.com，则您可以配置选择X这本TLS证书。

温馨提示：若您的下拉列表中没有可用的证书，请先在CDN Pro平台上创建证书。

附加TLS证书

根据国际加密算法技术测评：ECC加密算法优于RSA加密算法；但是目前市场上部分浏览器和APP客户端并不支持ECC加密算法，仅支持RSA加密算法。为了提升HTTPS请求的传输效率，您可选择配置一本ECC证书，优先采用ECC进行HTTPS加解密传输，同时配置一本RSA证书用于解决客户端兼容性不足的场景。

CDN Pro支持在同一个加速项目下配置多本证书，用于兼容不同加密算法的客户端HTTPS请求。您可基于【TLS证书】第一本证书配置的基础上，在【附加的TLS证书】配置下添加第二本证书，第一本证书和第二本证书必须是不同加密算法的证书，例如RSA证书和ECC证书。

温馨提示

• 若您的下拉列表中没有可用的证书，请先在CDN Pro平台上创建证书。
• 客户端发起HTTPS请求与CDN Pro平台进行SSL/TLS交互时，使用的加密证书类型由2个因素决定：第一个是客户端支持的加密算套件列表；第二个是CDN Pro配置的TLS加密套件列表，优先使用CDN Pro配置靠前的TLS加密套件。因此若您希望优先使用ECC证书进行SSL/TLS，请在【TLS加密套件】下将ECC加速算法相关加密套件配置到最前面。

TLS最低版本/TLS最高版本

用户对加速域名发起HTTPS请求时，客户端和CDN Pro平台进行SSL/TLS加解密时所使用的TLS版本范围。

目前支持的TLS版本包括：TLS1.0；TLS1.1；TLS1.2；TLS1.3。例如配置了TLS最低版本为TLS1.1，TLS最高版本为TLS1.2，则CDN Pro仅支持接收处理TLS1.1、TLS1.2的请求，不支持TLS1.0和TLS1.3的请求。

TLS加密套件

用户对加速域名发起HTTPS请求时，客户端和CDN Pro平台进行SSL/TLS加解密时所使用的TLS加密套件列表。

配置多个加密套件，请使用英文冒号“：”分隔。如果配置为空，则默认值为ECDHE:DHE。更多的加密套件配置，请参阅 openssl文档 中指定的格式。

HTTP请求重定向到HTTPS

用户对加速域名发起非加密的HTTP请求时，CDN Pro是否要求客户端重定向发起加密的HTTPS请求，即配置是否强制走HTTPS。

若不要求强制走HTTPS，则直接在下拉选项中选择“否”；若要求强制都走HTTPS，您可以配置指定重定向响应状态码，目前支持界面配置的强制HTTPS重定向响应状态码为301；302；307；308。

HTTP与HTTPS分开缓存

配置是否针对HTTP请求资源和HTTPS请求资源分别在CDN pro缓存2个文件资源内容。

分协议降级

配置CDN Pro是否可以使用HTTP回源。

若您的源站不支持HTTPS，允许您在通过CDN Pro代理回源获取资源时，将HTTPS加密请求协议降级为HTTP非加密请求。但是由于HTTP传输并不安全，因此我们希望您谨慎了解相关的安全风险后，再将协议降级配置为“是”。

启用OCSP装订

配置是否通过CDN Pro平台开启OCSP Stapling功能，以在线校验TLS证书的吊销状态。

OCSP Stapling的原理是：CDN Pro平台服务器自行从OCSP服务器查询证书有效性并缓存响应结果，当客户端和CDN Pro平台进行TLS连接时，CDN Pro直接将证书状态响应给浏览器，浏览器就不需要再向OCSP服务器查询证书状态。

OCSP Stapling的优点主要包括：①性能优化：可以避免客户端OCSP验证产生的阻塞问题，提升了HTTPS请求性能；②隐私保护：当有客户端向服务器发起 SSL/TLS 握手请求时，服务器将证书的 OCSP 信息随证书链一同发送给客户端，由于 OCSP 响应是无法伪造的，因此这一过程也不会产生额外的安全隐患，浏览器客户端也不再需要向任何第三方披露用户的浏览习惯，完美解决了隐私问题。