Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
31. srpna 2025 už Azure Application Gateway nebude podporovat protokol TLS (Transport Layer Security) verze 1.0 a 1.1. Tato změna je v souladu s vyřazením těchto verzí PROTOKOLU TLS pro celou Azure , aby se zlepšilo zabezpečení. Jako vlastník prostředku služby Application Gateway byste měli zkontrolovat připojení TLS klientů front-endu i back-endových serverů, které můžou používat tyto starší verze.
Připojení front-endu TLS
Při vyřazení protokolu TLS verze 1.0 a 1.1 se odeberou starší předdefinované zásady TLS a některé šifrovací sady z vlastních zásad TLS . V závislosti na konfiguraci brány je potřeba zkontrolovat přidružení zásad pro obecné zásady TLS i zásady TLS specifické pro naslouchací proces.
Obecné zásady TLS –
Zásady TLS specifické pro naslouchací proces – Zobrazení
Předdefinované zásady pro skladové položky V2
Předdefinované zásady 20150501 a 20170401, které podporují protokol TLS verze 1.0 a 1.1, přestanou být přidružené k prostředku služby Application Gateway po srpnu 2025. Doporučujeme přejít na jednu z doporučených zásad TLS, 20220101 nebo 20220101S. Případně je možné použít zásady 20170401S, pokud jsou vyžadovány konkrétní šifrovací sady.
Vlastní zásady pro V2 SKU
SKU Azure Application Gateway V2 nabízí dva typy vlastních zásad: Vlastní a CustomV2. Ukončení podpory těchto verzí protokolu TLS má vliv pouze na "vlastní zásady". Novější politika CustomV2 se dodává s protokolem TLS verze 1.3 a v1.2. Kromě srpna 2025 budou starší vlastní zásady podporovat pouze protokol TLS verze 1.2 a následující šifrovací sady nebudou podporovány.
| Nepodporované šifrovací sady |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Předdefinované zásady pro skladové položky V1
Skladová položka V1 bude podporovat pouze zásady 20170401S po ukončení starších zásad s protokolem TLS verze 1.0 a 1.1. Novější zásady 20220101 nebo 20220101S nebudou dostupné pro skladovou položku V1, která bude brzy vyřazenáto-be.
Vlastní zásady pro SKU V1
Služba Application Gateway verze V1 podporuje pouze starší "vlastní" zásady. Kromě srpna 2025 budou tyto starší vlastní zásady podporovat pouze protokol TLS verze 1.2 a následující šifrovací sady nebudou podporovány.
| Nepodporované šifrovací sady |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Backendová připojení TLS
Ve službě Application Gateway nemusíte nic konfigurovat pro verzi protokolu TLS back-endového připojení, protože výběr zásad PROTOKOLU TLS nemá žádnou kontrolu nad připojeními back-endového protokolu TLS. Po odchodu do důchodu
- V případě skladových položek V2: Připojení k back-endovým serverům budou vždy s upřednostňovaným protokolem TLS verze 1.3 a minimálně protokolem TLS verze 1.2.
- U skladových položek V1: Připojení k back-endovým serverům budou vždy s protokolem TLS verze 1.2.
Musíte zajistit, aby vaše servery v záložních poolech byly kompatibilní s těmito aktualizovanými verzemi protokolů. Tato kompatibilita zabraňuje přerušení při navazování připojení TLS/HTTPS k těmto back-endovým serverům.
Metody identifikace
Metrics
Pokud chcete zjistit, jestli klienti připojující se k vašemu prostředku služby Application Gateway využívají protokol TLS 1.0 nebo 1.1, použijte metriku Client TLS protocol poskytovanou službou Application Gateway. Další informace najdete v dokumentaci k metrikám. Můžete ho zobrazit z portálu pomocí následujícího postupu.
- Na webu Azure Portal přejděte k prostředku služby Application Gateway.
- V levém menu otevřete kartu "Metriky" v sekci Monitorování.
- V rozevíracím seznamu vyberte metriku
Client TLS protocol. - Pokud chcete zobrazit podrobné informace o verzi protokolu, vyberte Použít rozdělení a zvolte Protokol TLS.
Logs
Můžete také zkontrolovat protokoly přístupu ke službě Application Gateway a zobrazit tyto informace ve formátu protokolu.
Note
Metriky a protokoly skladových položek V1 neposkytují informace o protokolu TLS klienta.
Informace o chybě
Po ukončení podpory protokolu TLS verze 1.0 a 1.1 mohou klienti narazit na chyby, například curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. V závislosti na používaném prohlížeči se můžou zobrazit různé zprávy označující selhání handshake protokolu TLS.
Nejčastější dotazy
Co znamenají výchozí zásady TLS?
Výchozí zásada PROTOKOLU TLS pro Službu Application Gateway je zabalená sada podporovaných verzí protokolu TLS a šifrovacích sad. To umožňuje zákazníkům začít používat zabezpečený provoz pouze konfigurací naslouchacích procesů HTTPS nebo TLS a nastavení back-endu bez jakékoli další konfigurace pro verzi nebo šifry PROTOKOLU TLS. Application Gateway jako výchozí používá jednu z předdefinovaných zásad.
Jaký dopad budou mít výchozí zásady TLS po vyřazení starší verze PROTOKOLU TLS 1.0 a 1.1?
Do září 2025 využívají skladové položky V2 dvě výchozí zásady TLS založené na verzi rozhraní API zadané během nasazování prostředků. Nasazení používající rozhraní API verze 2023-02-01 nebo novější platí AppGwSslPolicy20220101 ve výchozím nastavení, zatímco starší verze rozhraní API používají AppGwSslPolicy20150501.
Po vyřazení protokolu TLS 1.0 a 1.1 budou starší AppGwSslPolicy20150501 zásady ukončeny.
AppGwSslPolicy20220101 Stane se tedy výchozí zásadou pro všechny brány V2. Po implementaci této změny výchozích zásad provede následná operace PUT aktualizaci konfigurace.
Výchozí zásady skladové položky V1 zůstanou beze změny, protože AppGwSslPolicy20220101 se pro tuto skladovou položku vyřazuje z provozu.
Note
Výchozí zásady TLS se použijí jenom v případě, že je na portálu vybraná možnost Výchozí nebo pokud v konfiguraci prostředků není zadána žádná zásada TLS, jako je REST, PowerShell nebo AzCLI. Proto použití výchozí zásady v konfiguraci není stejné jako explicitní
AppGwSslPolicy20150501výběr zásad, i kdyžAppGwSslPolicy20150501se jedná o výchozí zásady pro vaši verzi rozhraní API.Změny se použijí postupně ve všech oblastech Azure.
Které zásady TLS ve službě Application Gateway se zastarávají?
Předdefinované zásady AppGwSslPolicy20150501 , AppGwSslPolicy20170401 které podporují protokol TLS verze 1.0 a 1.1, se odeberou z konfigurace Azure Resource Manageru. Podobně vlastní zásada přestane podporovat protokol TLS verze 1.0 a 1.1 spolu s přidruženými šifrovacími sadami. To platí pro skladové položky V1 i V2.
Aktualizuje produktový tým služby Application Gateway konfiguraci automaticky na podporované zásady TLS?
Application Gateway neupraví žádné prostředky, které mají konfigurace TLS definované zákazníkem. Automaticky se aktualizují pouze výchozí zásady PROTOKOLU TLS pro brány, které explicitně nenastavily zásadu TLS nebo nemají žádná nastavení související s protokolem TLS (například naslouchací procesy HTTPS nebo TLS).AppGwSslPolicy20220101
Bude moje brána ve stavu selhání?
Pokud jste v konfiguraci brány zvolili nějaké zastaralé zásady TLS a neaktualizujete je na podporované zásady do srpna 2025, brána při provádění aktualizace konfigurace zadá stav selhání.
Nefunkční konfigurace protokolu TLS, například SSLProfile, která není propojená s žádným naslouchacím procesem, nebude mít žádný vliv na řídicí rovinu brány.
Jak se plánuje vydání této změny?
Vzhledem k rozsahu naší flotily se po 30. srpnu 2025 pro řídicí roviny a roviny dat implementuje vyřazení verzí TLS samostatně. Žádné podrobnosti specifické pro konkrétní oblast nebudou k dispozici; proto důrazně doporučujeme, abyste nejdříve provedli všechny nezbytné akce.
Je nějaký potenciální dopad, pokud jsem nevybrali žádné zásady TLS a brána používá pouze konfigurace HTTP/TCP?
Pokud vaše brána nepoužívá žádnou konfiguraci PROTOKOLU TLS – buď prostřednictvím SSLPolicy, SSLProfile, HTTPS nebo naslouchacích procesů PROTOKOLU TLS, nebude mít po srpnu 2025 žádný vliv.
Další kroky
Informace o typech a konfiguracích zásad TLS najdete v tématu Aktualizace Azure pro oznámení o vyřazení z provozu.