Přehled protokolu TLS služby Aplikace Azure
Poznámka:
Zákazníci můžou vědět o oznámení o vyřazení protokolu TLS 1.0 a 1.1 pro interakci se službami Azure. Toto vyřazení nemá vliv na aplikace spuštěné ve službě App Service nebo Azure Functions. Aplikace ve službě App Service nebo Azure Functions nakonfigurované tak, aby přijímaly protokol TLS 1.0 nebo TLS 1.1 pro příchozí požadavky, budou nadále fungovat beze změny.
Co dělá TLS ve službě App Service?
Tls (Transport Layer Security) je široce používaný protokol zabezpečení navržený k zabezpečení připojení a komunikace mezi servery a klienty. App Service umožňuje zákazníkům používat certifikáty TLS/SSL k zabezpečení příchozích požadavků do svých webových aplikací. App Service v současné době podporuje různé sady funkcí TLS pro zákazníky k zabezpečení webových aplikací.
Tip
Můžete se také zeptat azure Copilotu na tyto otázky:
- Jaké verze protokolu TLS jsou podporovány ve službě App Service?
- Jaké jsou výhody používání protokolu TLS 1.3 oproti předchozím verzím?
- Jak můžu změnit pořadí šifrovacích sad pro službu App Service Environment?
Pokud chcete najít Azure Copilot, na panelu nástrojů webu Azure Portal vyberte Copilot.
Podporovaná verze protokolu TLS ve službě App Service?
U příchozích požadavků do webové aplikace podporuje App Service protokol TLS verze 1.0, 1.1, 1.2 a 1.3.
Nastavení minimální verze protokolu TLS
Pokud chcete změnit minimální verzi protokolu TLS prostředku služby App Service, postupujte takto:
- Přejděte k aplikaci na webu Azure Portal.
- V nabídce vlevo vyberte konfiguraci a pak vyberte kartu Obecné nastavení .
- V části Minimální verze příchozího protokolu TLS vyberte v rozevíracím seznamu požadovanou verzi.
- Změny uložíte tlačítkem Uložit.
Minimální verze protokolu TLS se službou Azure Policy
Azure Policy můžete použít k auditování prostředků, pokud jde o minimální verzi protokolu TLS. Na aplikace app Service byste měli použít nejnovější definici zásad verze protokolu TLS a změnit hodnoty na požadovanou minimální verzi protokolu TLS. Podobné definice zásad pro jiné prostředky služby App Service najdete v seznamu předdefinovaných definic zásad – Azure Policy pro App Service.
Minimální verze protokolu TLS a minimální verze protokolu TLS SCM
App Service také umožňuje nastavit minimální verzi protokolu TLS pro příchozí požadavky na vaši webovou aplikaci a na web SCM. Ve výchozím nastavení je minimální verze protokolu TLS pro příchozí požadavky do vaší webové aplikace a SCM nastavená na 1.2 na portálu i rozhraní API.
TLS 1.3
Minimální nastavení šifrovací sady TLS je k dispozici s protokolem TLS 1.3. To zahrnuje dvě šifrovací sady v horní části pořadí šifrovacích sad:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 a 1.1
Protokoly TLS 1.0 a 1.1 se považují za starší a už se nepovažují za bezpečné. Obecně se doporučuje, aby zákazníci jako minimální verzi protokolu TLS používali protokol TLS 1.2 nebo vyšší. Při vytváření webové aplikace je výchozí minimální verze protokolu TLS TLS 1.2.
Aby byla zajištěna zpětná kompatibilita protokolu TLS 1.0 a TLS 1.1, bude App Service dál podporovat protokol TLS 1.0 a 1.1 pro příchozí požadavky do vaší webové aplikace. Vzhledem k tomu, že výchozí minimální verze protokolu TLS je nastavená na protokol TLS 1.2, musíte aktualizovat minimální konfigurace verze protokolu TLS ve webové aplikaci na protokol TLS 1.0 nebo 1.1, aby se požadavky neodmítly.
Důležité
Příchozí požadavky na webové aplikace a příchozí požadavky do Azure se zpracovávají odlišně. App Service bude dál podporovat protokol TLS 1.0 a 1.1 pro příchozí žádosti do webových aplikací. U příchozích požadavků přímo do řídicí roviny Azure, například prostřednictvím volání ARM nebo rozhraní API, se nedoporučuje používat protokol TLS 1.0 nebo 1.1.
Minimální šifrovací sada TLS (Preview)
Poznámka:
Minimální šifrovací sada PROTOKOLU TLS je podporována v cenových úrovních Premium a vyšších úrovních ve službě App Service s více tenanty.
Minimální šifrovací sada PROTOKOLU TLS obsahuje pevný seznam šifrovacích sad s optimálním pořadím priority, které nelze změnit. Změna pořadí nebo přeuspořádání šifrovacích sad se nedoporučuje, protože by vaše webové aplikace mohly vystavit slabšímu šifrování. Do tohoto seznamu také nelze přidat nové nebo jiné šifrovací sady. Když vyberete minimální sadu šifer, systém automaticky zakáže všechny méně zabezpečené šifrovací sady pro vaši webovou aplikaci, aniž byste mohli selektivně zakázat pouze některé slabší šifrovací sady.
Co jsou šifrovací sady a jak fungují ve službě App Service?
Šifrovací sada je sada instrukcí, která obsahuje algoritmy a protokoly, které pomáhají zabezpečit síťová připojení mezi klienty a servery. Ve výchozím nastavení by operační systém front-endu vybral nejbezpečnější šifrovací sadu podporovanou službou App Service i klientem. Pokud ale klient podporuje pouze slabé šifrovací sady, operační systém front-endu by nakonec vybral slabou šifrovací sadu, kterou obě podporují. Pokud má vaše organizace omezení, jaké šifrovací sady by neměly být povolené, můžete aktualizovat minimální vlastnost šifrovací sady TLS vaší webové aplikace, aby se zajistilo, že slabé šifrovací sady budou pro vaši webovou aplikaci zakázané.
App Service Environment (ASE) V3 s nastavením clusteru FrontEndSSLCipherSuiteOrder
V případě prostředí App Service Environment s FrontEndSSLCipherSuiteOrder nastavením clusteru je potřeba aktualizovat nastavení tak, aby obsahovala dvě šifrovací sady PROTOKOLU TLS 1.3 (TLS_AES_256_GCM_SHA384 a TLS_AES_128_GCM_SHA256). Po aktualizaci restartujte front-end, aby se změna projevila. Přesto musíte zahrnout dvě požadované šifrovací sady, jak je uvedeno v dokumentaci.
Kompletní šifrování TLS (Preview)
Kompletní šifrování TLS (E2E) je k dispozici v plánech služby App Service Standard a vyšších verzích. Front-endový provoz uvnitř clusteru mezi front-endy služby App Service a pracovními procesy, na kterých běží aplikační úlohy, je teď možné zašifrovat.