配置TLS需优先支持TLS 1.3,其强制前向保密且移除不安全算法,推荐AEAD模式套件(如TLS_AES_256_GCM_SHA384)。TLS 1.2需显式排除弱算法,并支持国密(SM2/SM4/SM3)及ECC。国密需专用证书与改造的OpenSSL(如BabaSSL)。PQC算法(如Kyber)目前实验性支持,可结合传统ECC混合使用。HTTP/2需TLS 1.2+,HTTP/3依赖TLS 1.3及QUIC协议,需配置Alt-Svc声明。安全增强包括启用OCSP Stapling、HSTS及优化会话管理。需注意国密兼容性、PQC定制化实现及性能测试,兼顾安全、性能与现代协议支持。
安全
78
雨落秋垣