我升级到WAF3.0了，发现所有的域名的套件配置被重置成“全部加密套件了”，这个是预期的吗？

是的，这种情况是预期的行为。根据知识库资料，在升级到WAF 3.0后，所有域名的加密套件配置会被重置为默认选项“全部加密套件”。这是因为在WAF 3.0中，默认设置会优先考虑兼容性，以确保升级过程中不会因加密套件的限制而导致业务中断。

原因分析

1. 默认配置的重置
   WAF 3.0在升级时会对部分配置进行初始化处理，其中包括将加密套件重置为“全部加密套件”。此设置能够支持更多的客户端连接，避免因加密套件不匹配导致的访问问题。

2. 安全性与兼容性的权衡
   “全部加密套件”选项虽然兼容性最高，但安全性较低，因为它同时包含强加密套件和弱加密套件。如果您对安全性有较高要求，建议根据实际业务需求重新自定义加密套件。

解决方案

为了避免潜在的安全风险，您可以按照以下步骤重新配置加密套件：

1. 登录WAF控制台
   进入Web应用防火墙控制台，选择对应的资源组和地域。

2. 定位目标域名
   在左侧导航栏中，选择“资产中心 > 网站接入”，找到需要调整加密套件的域名。

3. 进入TLS配置页面
   确认域名的接入模式为CNAME接入，并且源站信息的证书状态为“更新证书”。然后点击操作列中的“TLS配置”。

4. 自定义加密套件

   • 在“加密套件”选项中，选择“协议版本的自定义加密套件”。
   • 根据您的业务需求，从下拉列表中选择合适的加密套件。例如，推荐使用以下强加密套件：
     • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
     • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
   • 注意：请谨慎选择加密套件，确保服务端和客户端的加密套件匹配，以免影响业务正常运行。

5. 保存配置
   完成配置后，点击“保存”以应用新的加密套件设置。

重要提醒

• 强制HTTPS功能：如果您的业务需要更高的安全性，建议开启“强制HTTPS跳转”功能，确保所有HTTP请求被重定向至HTTPS。
• TLS协议版本：建议根据业务需求选择较高的TLS协议版本（如TLS 1.2及以上），并可选中“开启支持TLS 1.3”以进一步提升安全性。

通过以上步骤，您可以重新配置加密套件，确保在兼容性和安全性之间取得平衡。