大多数面向普通受众的网站都希望根据安全性和浏览器兼容性来选择 TLS 版本。如果您保证用于连接到您的网站的客户端将是最新的，那么您可以单独依赖 TLS1.3。

您网站的最佳配置将取决于许多参数，并且随着对更强大的协议和密码的支持被添加到浏览器中，配置将需要随着时间的推移而改变。同样，当漏洞被发现或被废弃时，您将希望禁用不太安全的协议和密码。

安全注意事项

较新版本的 TLS 为旧 TLS 版本中的已知漏洞提供了修复。

已经讨论了TLS1.1 中的特定漏洞。例如，Lucky13 攻击的对策是使用 TLS1.2 中可用的 AEAD 密码。

TLS1.3 删除了对许多较弱密码和哈希算法的支持，同时添加了更强的密码。

兼容性注意事项

目前，全球约 81% 用户的浏览器支持 TLS1.3 ，仅依靠 TLS1.3 可能还不够。

您可能还需要另外启用对 TLS1.2 的支持，目前全球 97% 以上的用户都支持该功能。根据您网站的特定人口统计和要求，您可能希望此时禁用对 TLS1.0 和 TLS1.1 的支持（正如许多网站已经完成的那样）。

客户支持

根据Can I Use 的数据，当前全球支持占用户的百分比（截至 2020 年 1 月）：

| 版本 | 全球支持 |
| -------- | -------------- |
| TLS 1.0 | 几乎所有|
| TLS 1.1 | 97.43% |
| TLS 1.2 | 97.35% |
| TLS 1.3 | 81.08% |

大多数流行的浏览器将在 2020 年逐步停止对 TLS1.0 和 TLS1.1 的支持。（来源）

服务器支持

服务器支持，由Qualys SSL Labs测量（截至 2019 年 12 月 3 日）：

| 版本 | 服务器支持 |
| -------- | -------------- |
| TLS 1.0 | 63.4% |
| TLS 1.1 | 73.7% |
| TLS 1.2 | 96.2% |
| TLS 1.3 | 17.0% |

许多网站已经禁用了对 TLS1.0 和 TLS1.1 的支持。一些拥有不支持 TLS1.2 的过时客户端的用户在查看此类网站时可能会收到错误消息。

其他注意事项

较新的 TLS 版本还添加了您可能想要利用的功能。

TLS1.2：

• HTTP/2：TLS1.2 是 HTTP/2 的最低 TLS 版本，它提供了额外的功能来加快页面加载时间。

TLS1.3：

• 更快的握手：TLS1.3 将减少建立安全连接的延迟。
• 前向保密：在 TLS1.3 中，所有密码都支持临时密钥交换。即使您的服务器受到威胁（或者，在这种情况下，您的 CDN 受到威胁），这也有助于维护先前连接的安全性。

为了获得最佳安全性，您需要为您的网站调整其他参数。Qualys SSL Labs可以帮助您发现和调整这些设置以提高安全性。仅举几例，考虑配置HSTS、通过TLS Fallback SCSV 进行降级预防和前向保密。您可能无法通过 CDN 控制所有这些设置 - 有些可能需要在您的服务器上进行配置。

此外，不要忽视您自己服务器的 TLS 配置，因为您的 CDN 将与您的服务器建立独立的 TLS 连接。

随着更多漏洞和利用的出现，攻击者可以降级他们的通信方法以利用旧版本的 TLS。