Migrieren zu TLS 1.2 für Azure Resource Manager

  • Artikel

Transport Layer Security (TLS) ist ein Sicherheitsprotokoll, das Verschlüsselungskanäle über Computernetzwerken einrichtet. TLS 1.2 ist der aktuelle Branchenstandard und wird von Azure Resource Manager unterstützt. Für die Abwärtskompatibilität unterstützt Azure Resource Manager auch frühere Versionen, z. B. TLS 1.0 und 1.1, aber diese Unterstützung wird beendet.

Um sicherzustellen, dass Azure mit gesetzlichen Anforderungen kompatibel ist und die Sicherheit für unsere Kunden verbessert wird, werden Protokolle, die älter als TLS 1.2 sind, ab dem 30. September 2024 in Azure Resource Manager nicht mehr unterstützt.

In diesem Artikel finden Sie Anleitungen zum Entfernen von Abhängigkeiten zu älteren Sicherheitsprotokollen.

Gründe für die Migration zu TLS 1.2

TLS verschlüsselt Daten, die über das Internet gesendet werden, um zu verhindern, dass böswillige Benutzer auf private, vertrauliche Informationen zugreifen. Der Client und der Server führen einen TLS-Handshake aus, um die Identität des anderen zu überprüfen und festzulegen, wie sie kommunizieren. Beim Handshake ermittelt jede Seite, welche TLS-Versionen sie verwenden. Der Client und der Server können kommunizieren, wenn beide eine gemeinsame Version unterstützen.

TLS 1.2 ist sicherer und schneller als seine Vorgänger.

Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Sie verwenden Azure Resource Manager, um Ressourcen in Ihrem Azure-Abonnement zu erstellen, zu aktualisieren und zu löschen. Zum Stärken der Sicherheit und zum Schutz vor zukünftigen Protokoll-Downgrade-Angriffen wird TLS 1.1 oder früher von Azure Resource Manager nicht mehr unterstützt. Um Azure Resource Manager weiterhin verwenden zu können, müssen alle Clients, die Azure aufrufen, TLS 1.2 oder höher verwenden.

Vorbereiten der Migration zu TLS 1.2

Wir empfehlen die folgenden Schritte, um die Migration Ihrer Clients zu TLS 1.2 vorzubereiten:

  • Aktualisieren Sie Ihr Betriebssystem auf die neueste Version.

  • Aktualisieren Sie Ihre Entwicklungsbibliotheken und Frameworks auf die neuesten Versionen. Python 3.8 unterstützt z. B. TLS 1.2.

  • Korrigieren Sie hartcodierte Vorkommen von Sicherheitsprotokollen, die älter als TLS 1.2 sind.

  • Informieren Sie Ihre Kunden und Partner über die Migration Ihrer Produkte oder Dienste zu TLS 1.2.

Eine ausführlichere Anleitung finden Sie in der Prüfliste zur Veralterung älterer TLS-Versionen in Ihrer Umgebung.

Einfache Tipps

  • In Windows 8+ ist TLS 1.2 standardmäßig aktiviert.

  • In Windows Server 2016+ ist TLS 1.2 standardmäßig aktiviert.

  • Vermeiden Sie nach Möglichkeit die Hartcodierung der Protokollversion. Konfigurieren Sie stattdessen Ihre Anwendungen so, dass sie immer die standardmäßige TLS-Version Ihres Betriebssystems verwenden.

    Sie können beispielsweise das SystemDefaultTLSVersion-Flag in .NET Framework-Anwendungen aktivieren, damit die Standardversion des Betriebssystems verwendet wird. Diese Vorgehensweise ermöglicht es Ihren Anwendungen, zukünftige TLS-Versionen nutzen.

    Geben Sie TLS 1.2 an, falls eine Hartcodierung nicht vermieden werden kann.

  • Aktualisieren Sie Anwendungen, die auf .NET Framework 4.5 oder früher abzielen. Verwenden Sie stattdessen .NET Framework 4.7 oder höher, da diese Versionen TLS 1.2 unterstützen.

    Visual Studio 2013 unterstützt beispielsweise TLS 1.2 nicht. Verwenden Sie stattdessen zumindest das neueste Release von Visual Studio 2017.

  • Sie können Qualys SSL Labs verwenden, um festzustellen, welche TLS-Version von Clients angefordert wird, die eine Verbindung mit Ihrer Anwendung herstellen.

  • Sie können Fiddler verwenden, um festzustellen, welche TLS-Version Ihr Client verwendet, wenn Sie HTTPS-Anforderungen senden.

Nächste Schritte