Migrieren zu TLS 1.2 für Azure Resource Manager
Transport Layer Security (TLS) ist ein Sicherheitsprotokoll, das Verschlüsselungskanäle über Computernetzwerken einrichtet. TLS 1.2 ist der aktuelle Branchenstandard und wird von Azure Resource Manager unterstützt. Für die Abwärtskompatibilität unterstützt Azure Resource Manager auch frühere Versionen, z. B. TLS 1.0 und 1.1, aber diese Unterstützung wird beendet.
Um sicherzustellen, dass Azure mit gesetzlichen Anforderungen kompatibel ist und die Sicherheit für unsere Kunden verbessert wird, werden Protokolle, die älter als TLS 1.2 sind, ab dem 1. März 2025 in Azure Resource Manager nicht mehr unterstützt.
In diesem Artikel finden Sie Anleitungen zum Entfernen von Abhängigkeiten zu älteren Sicherheitsprotokollen.
Gründe für die Migration zu TLS 1.2
TLS verschlüsselt Daten, die über das Internet gesendet werden, um zu verhindern, dass böswillige Benutzer auf private, vertrauliche Informationen zugreifen. Der Client und der Server führen einen TLS-Handshake aus, um die Identität des anderen zu überprüfen und festzulegen, wie sie kommunizieren. Beim Handshake ermittelt jede Seite, welche TLS-Versionen sie verwenden. Der Client und der Server können kommunizieren, wenn beide eine gemeinsame Version unterstützen.
TLS 1.2 ist sicherer und schneller als seine Vorgänger.
Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Sie verwenden Azure Resource Manager, um Ressourcen in Ihrem Azure-Abonnement zu erstellen, zu aktualisieren und zu löschen. Zum Stärken der Sicherheit und zum Schutz vor zukünftigen Protokoll-Downgrade-Angriffen wird TLS 1.1 oder früher von Azure Resource Manager nicht mehr unterstützt. Um Azure Resource Manager weiterhin verwenden zu können, müssen alle Clients, die Azure aufrufen, TLS 1.2 oder höher verwenden.
Vorbereiten der Migration zu TLS 1.2
Wir empfehlen die folgenden Schritte, um die Migration Ihrer Clients zu TLS 1.2 vorzubereiten:
Aktualisieren Sie Ihr Betriebssystem auf die neueste Version.
Aktualisieren Sie Ihre Entwicklungsbibliotheken und Frameworks auf die neuesten Versionen. Python 3.8 unterstützt z. B. TLS 1.2.
Korrigieren Sie hartcodierte Vorkommen von Sicherheitsprotokollen, die älter als TLS 1.2 sind.
Informieren Sie Ihre Kunden und Partner über die Migration Ihrer Produkte oder Dienste zu TLS 1.2.
Eine ausführlichere Anleitung finden Sie in der Prüfliste zur Veralterung älterer TLS-Versionen in Ihrer Umgebung.
Einfache Tipps
In Windows 8+ ist TLS 1.2 standardmäßig aktiviert.
In Windows Server 2016+ ist TLS 1.2 standardmäßig aktiviert.
Vermeiden Sie nach Möglichkeit die Hartcodierung der Protokollversion. Konfigurieren Sie stattdessen Ihre Anwendungen so, dass sie immer die standardmäßige TLS-Version Ihres Betriebssystems verwenden.
Sie können beispielsweise das
SystemDefaultTLSVersion
-Flag in .NET Framework-Anwendungen aktivieren, damit die Standardversion des Betriebssystems verwendet wird. Diese Vorgehensweise ermöglicht es Ihren Anwendungen, zukünftige TLS-Versionen nutzen.Geben Sie TLS 1.2 an, falls eine Hartcodierung nicht vermieden werden kann.
Aktualisieren Sie Anwendungen, die auf .NET Framework 4.5 oder früher abzielen. Verwenden Sie stattdessen .NET Framework 4.7 oder höher, da diese Versionen TLS 1.2 unterstützen.
Visual Studio 2013 unterstützt beispielsweise TLS 1.2 nicht. Verwenden Sie stattdessen zumindest das neueste Release von Visual Studio 2017.
Sie können Qualys SSL Labs verwenden, um festzustellen, welche TLS-Version von Clients angefordert wird, die eine Verbindung mit Ihrer Anwendung herstellen.
Sie können Fiddler verwenden, um festzustellen, welche TLS-Version Ihr Client verwendet, wenn Sie HTTPS-Anforderungen senden.
Nächste Schritte
- Weitergehende Informationen zur Migration zu TLS 1.2 finden Sie in Beheben des Problems mit TLS 1.0, zweite Ausgabe.
- Weitere Informationen zu Microsoft Configuration Manager finden Sie im Artikel zum Aktivieren von TLS 1.2 auf Clients.
- Anweisungen zum Aktualisieren der TLS-Version in PowerShell finden Sie im Artikel zum Konfigurieren von Transport Layer Security (TLS) für eine Clientanwendung.
- Informationen zum Aktualisieren der TLS-Version für WinHTTP finden Sie in Aktivieren der Unterstützung für TLS 1.2 in Ihrer Umgebung als Vorbereitung auf die Einstellung von Microsoft Entra TLS 1.1 und 1.0.
- Bewährte Methoden beim Konfigurieren von Sicherheitsprotokollen für Anwendungen, die .NET Framework verwenden, finden Sie in Bewährte Methoden für Transport Layer Security (TLS) mit .NET Framework.
- Antworten auf Fragen zu bewährten Methoden für .NET Framework finden Sie im GitHub-Artikel zu bewährten TLS-Methoden für .NET Framework.
- Informationen zum Feststellen der TLS 1.2-Kompatibilität und zum Ermitteln von Kompatibilitätsproblemen mit PowerShell finden Sie im Artikel zur Behandlung von TLS 1.2-Kompatibilitätsproblemen mit PowerShell.