Migrace na tls 1.2 pro Azure Resource Manager

  • Článek

Tls (Transport Layer Security) je protokol zabezpečení, který vytváří šifrovací kanály přes počítačové sítě. Tls 1.2 je aktuální oborový standard a podporuje ho Azure Resource Manager. Kvůli zpětné kompatibilitě podporuje Azure Resource Manager také starší verze, například TLS 1.0 a 1.1, ale tato podpora končí.

Azure Resource Manager přestane podporovat protokoly starší než TLS 1.2 30. září 2024, aby zajistil, že Azure splňuje zákonné požadavky a poskytuje lepší zabezpečení.

Tento článek obsahuje pokyny k odebrání závislostí na starších protokolech zabezpečení.

Proč migrovat na TLS 1.2

Tls šifruje data odesílaná přes internet, aby se uživatelům se zlými úmysly zabránilo v přístupu k soukromým citlivým informacím. Klient a server provádějí metodu handshake protokolu TLS, aby ověřily identitu ostatních a určily, jak budou komunikovat. Během metody handshake každá strana identifikuje verze protokolu TLS, které používají. Klient i server můžou komunikovat, pokud obě podporují společnou verzi.

Protokol TLS 1.2 je bezpečnější a rychlejší než jeho předchůdci.

Azure Resource Manager je služba nasazování a správy pro Azure. Pomocí Azure Resource Manageru můžete vytvářet, aktualizovat a odstraňovat prostředky ve vašem účtu Azure. Azure Resource Manager už nebude podporovat protokol TLS 1.1 ani starší, aby posílil zabezpečení a zmírnit případné budoucí útoky na downgrade protokolů. Pokud chcete Dál používat Azure Resource Manager, ujistěte se, že všichni klienti, kteří volají Azure, používají protokol TLS 1.2 nebo novější.

Příprava na migraci na PROTOKOL TLS 1.2

Při přípravě na migraci klientů na protokol TLS 1.2 doporučujeme následující kroky:

  • Aktualizujte operační systém na nejnovější verzi.

  • Aktualizujte vývojové knihovny a architektury na nejnovější verze. Python 3.8 například podporuje protokol TLS 1.2.

  • Oprava pevně zakódovaných instancí protokolů zabezpečení starších než TLS 1.2

  • Upozorněte zákazníky a partnery na migraci produktu nebo služby na protokol TLS 1.2.

Podrobnější pokyny najdete v kontrolním seznamu pro vyřazení starších verzí protokolu TLS ve vašem prostředí.

Rychlé tipy

  • Windows 8+ má ve výchozím nastavení povolený protokol TLS 1.2.

  • Windows Server 2016+ má ve výchozím nastavení povolený protokol TLS 1.2.

  • Pokud je to možné, vyhněte se pevně zakódování verze protokolu. Místo toho nakonfigurujte aplikace tak, aby se vždy odložily na výchozí verzi protokolu TLS operačního systému.

    Příznak můžete například povolit SystemDefaultTLSVersion v aplikacích .NET Framework, aby se odložil na výchozí verzi operačního systému. Tento přístup umožňuje vašim aplikacím využívat budoucí verze protokolu TLS.

    Pokud se nemůžete vyhnout pevnému kódování, zadejte protokol TLS 1.2.

  • Upgradujte aplikace, které cílí na rozhraní .NET Framework 4.5 nebo starší. Místo toho použijte rozhraní .NET Framework 4.7 nebo novější, protože tyto verze podporují protokol TLS 1.2.

    Visual Studio 2013 například nepodporuje protokol TLS 1.2. Místo toho použijte aspoň nejnovější verzi sady Visual Studio 2017.

  • Qualys SSL Labs můžete použít k identifikaci verze protokolu TLS, kterou požadují klienti připojující se k vaší aplikaci.

  • Fiddler můžete použít k identifikaci verze protokolu TLS, kterou klient používá při odesílání požadavků HTTPS.

Další kroky