Vue d’ensemble d’Azure App Service TLS

Remarque

Les clients peuvent être au courant de la notification de mise hors service de TLS 1.0 et 1.1 pour les interactions avec les services Azure. Cette mise hors service n’affecte pas les applications s’exécutant sur App Service ou Azure Functions. Les applications sur App Service ou Azure Functions configurées pour accepter TLS 1.0 ou TLS 1.1 pour les requêtes entrantes continueront de s’exécuter sans être affectées.

Que fait TLS dans App Service ?

TLS (Transport Layer Security) est un protocole de sécurité largement adopté conçu pour sécuriser les connexions et les communications entre les serveurs et les clients. App Service permet aux clients d’utiliser des certificats TLS/SSL pour sécuriser les requêtes entrantes destinées à leurs applications web. App Service prend actuellement en charge différents ensembles de fonctionnalités TLS pour que les clients sécurisent leurs applications web.

Conseil

Vous pouvez également poser ces questions à Azure Copilot :

  • Quelles versions de TLS sont prises en charge dans App Service ?
  • Quels sont les avantages à utiliser TLS 1.3 par rapport aux versions précédentes ?
  • Comment puis-je modifier l’ordre de suite de chiffrement pour mon instance App Service Environment ?

Pour rechercher Azure Copilot, dans la barre d’outils du Portail Azure, sélectionnez Copilot.

Version de TLS prise en charge sur App Service ?

Pour les requêtes entrantes adressées à votre application web, App Service prend en charge TLS versions 1.0, 1.1, 1.2 et 1.3.

Définir la version minimale de TLS

Procédez comme suit pour modifier la version TLS minimale de votre ressource App Service :

  1. Accéder à votre application sur le Portail Azure
  2. Dans le menu de gauche, sélectionnez configuration, puis sélectionnez l’onglet Paramètres généraux.
  3. Dans Version TLS entrante minimale, à l’aide de la liste déroulante, sélectionnez votre version souhaitée.
  4. Sélectionnez Enregistrer pour enregistrer les modifications.

Version TLS minimale avec Azure Policy

Vous pouvez utiliser Azure Policy pour vous aider à auditer vos ressources en ce qui concerne la version TLS minimale. Vous pouvez consultez Les applications App Service doivent utiliser la dernière définition de stratégie de version TLS et modifier les valeurs en fonction de votre version TLS minimale souhaitée. Pour obtenir des définitions de stratégie similaires pour d’autres ressources App Service, consultez Liste des définitions de stratégie intégrées – Azure Policy pour App Service.

Version TLS minimale et version TLS minimal SCM

App Service vous permet également de définir une version TLS minimale pour les requêtes entrantes sur votre application web et sur le site SCM. Par défaut, la version TLS minimale des requêtes entrantes destinées à votre application web et à SCM est définie sur la version 1.2 sur le portail et l’API.

TLS 1.3

Un paramètre Suite de chiffrement TLS minimale est disponible avec TLS 1.3. Cela inclut deux suites de chiffrement en haut de l’ordre de suite de chiffrement :

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

TLS 1.0 et 1.1

TLS 1.0 et 1.1 sont considérés comme des protocoles hérités et ne sont plus considérés comme sécurisés. Nous recommandons généralement aux clients d’utiliser TLS 1.2 ou ultérieur comme version minimale de TLS. Lors de la création d’une application web, la version minimale par défaut de TLS est TLS 1.2.

Pour garantir la compatibilité descendante pour TLS 1.0 et TLS 1.1, App Service continuera à prendre en charge TLS 1.0 et 1.1 pour les requêtes entrantes adressées à votre application web. Toutefois, étant donné que la version minimale de TLS par défaut est définie sur TLS 1.2, vous devez mettre à jour les configurations minimales de version TLS sur votre application web vers TLS 1.0 ou 1.1 pour que les requêtes ne soient pas rejetées.

Important

Les requêtes entrantes destinées aux applications web et les requêtes entrantes destinées à Azure sont traitées différemment. App Service continuera à prendre en charge TLS 1.0 et 1.1 pour les requêtes entrantes destinées aux applications web. Pour les requêtes entrantes directement vers le plan de contrôle Azure, par exemple par le biais d’appels ARM ou d’API, il n’est pas recommandé d’utiliser TLS 1.0 ou 1.1.

Suite de chiffrement TLS minimale (préversion)

Remarque

La suite de chiffrement TLS minimale est prise en charge sur les références SKU Premium et supérieures sur App Service multilocataire.

La suite de chiffrement TLS minimale inclut une liste fixe de suites de chiffrement avec un ordre de priorité optimal que vous ne pouvez pas modifier. La réorganisation ou le changement de priorité des suites de chiffrement n’est pas recommandée, car cela pourrait exposer vos applications web à un chiffrement plus faible. Vous ne pouvez pas non plus ajouter de suites de chiffrement nouvelles ou différentes à cette liste. Lorsque vous sélectionnez une suite de chiffrement minimale, le système désactive automatiquement toutes les suites de chiffrement moins sécurisées pour votre application web, sans vous permettre de désactiver sélectivement certaines suites de chiffrement plus faibles.

Qu’est-ce que les suites de chiffrement et comment fonctionnent-elles sur App Service ?

Une suite de chiffrement est un ensemble d’instructions qui contient des algorithmes et des protocoles pour sécuriser les connexions réseau entre les clients et les serveurs. Par défaut, le système d’exploitation frontal choisit la suite de chiffrement la plus sécurisée prise en charge à la fois par App Service et par le client. Toutefois, si le client prend uniquement en charge les suites de chiffrement faibles, le système d’exploitation frontal choisira une suite de chiffrement faible qui est prise en charge par les deux. Si votre organisation a des restrictions sur les suites de chiffrement qui ne doivent pas être autorisées, vous pouvez mettre à jour la propriété Suite de chiffrement TLS minimale de votre application web pour vous assurer que les suites de chiffrement faibles sont désactivées pour votre application web.

App Service Environment (ASE) V3 avec le paramètre de cluster FrontEndSSLCipherSuiteOrder

Pour les environnements App Service avec un paramètre de cluster FrontEndSSLCipherSuiteOrder, vous devez mettre à jour vos paramètres pour inclure deux suites de chiffrement TLS 1.3 (TLS_AES_256_GCM_SHA384 et TLS_AES_128_GCM_SHA256). Après la mise à jour, redémarrez votre serveur frontal pour que la modification prenne effet. Vous devez toujours inclure les deux suites de chiffrement requises, comme mentionné dans la documentation.

Chiffrement TLS de bout en bout (préversion)

Le chiffrement TLS de bout en bout (E2E) est disponible dans les plans App Service Standard et supérieurs. Le trafic intra-cluster frontal entre les serveurs frontaux App Service et les workers exécutant des charges de travail d’application peut désormais être chiffré.

Étapes suivantes