Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Dal 31 agosto 2025, gateway applicazione di Azure non supporterà più TLS (Transport Layer Security) versioni 1.0 e 1.1. Questa modifica è allineata al ritiro a livello di Azure di queste versioni TLS per migliorare la sicurezza. In qualità di proprietario di una risorsa gateway applicazione, è necessario esaminare sia le connessioni TLS client front-end che quelle server back-end che potrebbero usare queste versioni precedenti.
Connessioni TLS front-end
Con la deprecazione di TLS versioni 1.0 e 1.1, i criteri TLS predefiniti precedenti e alcune suite di crittografia dai criteri TLS personalizzati verranno rimossi. A seconda della configurazione del gateway, è necessario esaminare l'associazione dei criteri sia per i criteri TLS generali che per i criteri TLS specifici del listener.
Criteri TLS generali - Visualizzazione del portale
Criteri TLS specifici del listener- Visualizzazione del portale
Criteri predefiniti per GLI SKU V2
I criteri predefiniti 20150501 e 20170401 che supportano TLS v1.0 e v1.1 verranno sospesi e non potranno più essere associati a una risorsa dell'Application Gateway dopo agosto 2025. È consigliabile passare ai criteri TLS consigliati, ad esempio 20220101 o 20220101S. In alternativa, è possibile usare i criteri 20170401S se sono necessari pacchetti di crittografia specifici.
Criteri personalizzati per SKU V2
L'SKU V2 del gateway applicativo di Azure offre due tipi di criteri personalizzati: Custom e CustomV2. Il ritiro di queste versioni TLS influisce solo sul criterio "Custom". I criteri "CustomV2" più recenti includono TLS v1.3 e v1.2. Oltre ad agosto 2025, i criteri personalizzati meno recenti supporteranno solo TLS v1.2 e le suite di crittografia seguenti non saranno supportate.
| Pacchetti di crittografia non supportati |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Criteri predefiniti per GLI SKU V1
Lo SKU V1 supporterà solo i criteri 20170401S dopo che i criteri precedenti con TLS versioni 1.0 e 1.1 non sono più disponibili. Le politiche più recenti 20220101 o 20220101S non saranno disponibili per lo SKU V1,to-bepresto ritirato.
Criteri personalizzati per GLI SKU V1
Lo SKU V1 del gateway applicazione supporta solo i criteri "Personalizzati" meno recenti. Oltre agosto 2025, questo criterio personalizzato meno recente supporterà solo TLS v1.2 e le suite di crittografia seguenti non saranno supportate.
| Pacchetti di crittografia non supportati |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Connessioni TLS back-end
Non è necessario configurare alcun elemento nel Gateway delle applicazioni per la versione TLS della connessione back-end, dato che la selezione della politica TLS non influisce sulle connessioni TLS back-end. Dopo il ritiro,
- Per gli SKU V2: le connessioni ai server back-end saranno sempre con TLS v1.3 preferito e almeno fino a TLS v1.2
- Per gli SKU V1: le connessioni ai server back-end saranno sempre con TLS v1.2
È necessario assicurarsi che i server nei pool back-end siano compatibili con queste versioni aggiornate del protocollo. Questa compatibilità evita eventuali interruzioni quando si stabilisce una connessione TLS/HTTPS con tali server back-end.
Metodi di identificazione
Metrics
Per determinare se i client che si connettono alla risorsa Application Gateway usano TLS 1.0 o 1.1, utilizzare la metrica Client TLS protocol fornita da Application Gateway. Per altre informazioni, vedere la documentazione sulle metriche. È possibile visualizzarlo dal portale seguendo questa procedura.
- Passare alla risorsa Gateway dell'applicazione nel portale di Azure.
- Nel riquadro del menu a sinistra aprire il pannello "Metriche" nella sezione Monitoraggio.
- Selezionare la metrica
Client TLS protocoldall'elenco a discesa. - Per visualizzare informazioni granulari sulla versione del protocollo, selezionare "Applica suddivisione" e scegliere "Protocollo TLS".
Logs
È anche possibile controllare log di accesso al gateway dell'applicazione per visualizzare queste informazioni nel formato di log.
Note
Le metriche e i log degli SKU V1 non forniscono informazioni sul protocollo TLS client.
Informazioni sugli errori
Una volta interrotto il supporto per TLS versione 1.0 e 1.1, i client potrebbero riscontrare errori come curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. A seconda del browser in uso, possono essere visualizzati vari messaggi che indicano errori di handshake TLS.
Domande frequenti
Cosa significa criteri TLS predefiniti?
I criteri TLS predefiniti per il gateway applicazione sono un set di versioni TLS e pacchetti di crittografia supportati. In questo modo i clienti possono iniziare a usare il traffico protetto configurando solo listener TLS o HTTPS e impostazioni di back-end, senza alcuna configurazione aggiuntiva per la versione o la crittografia TLS. Il gateway applicazione usa come impostazione predefinita uno dei criteri predefiniti.
Quale sarà l'impatto sui criteri TLS predefiniti dopo il ritiro delle versioni TLS 1.0 e 1.1 legacy?
Fino a settembre 2025, gli SKU V2 usano due criteri TLS predefiniti basati sulla versione dell'API specificata durante la distribuzione delle risorse. Le distribuzioni che usano l'API versione 2023-02-01 o successiva per impostazione predefinita applicano AppGwSslPolicy20220101, mentre le versioni precedenti dell'API usano AppGwSslPolicy20150501.
Con la deprecazione di TLS 1.0 e 1.1, i criteri AppGwSslPolicy20150501 meno recenti verranno sospesi. Di conseguenza, AppGwSslPolicy20220101 diventerà il criterio predefinito per tutti i gateway V2. Dopo l'implementazione di questa modifica ai criteri predefiniti, un'operazione PUT successiva completerà l'aggiornamento della configurazione.
I criteri predefiniti per lo SKU V1 rimarranno invariati perché AppGwSslPolicy20220101 non verranno introdotti per questo SKU in fase di ritiro.
Note
Un criterio TLS predefinito viene applicato solo quando nel portale è selezionata l'opzione "Predefinito" o quando non viene specificato alcun criterio TLS all'interno della configurazione delle risorse, ad esempio REST, PowerShell o AzCLI. Di conseguenza, l'uso di un criterio predefinito nella configurazione non equivale alla selezione esplicita dei criteri
AppGwSslPolicy20150501, anche seAppGwSslPolicy20150501è il criterio predefinito per la versione dell'API.Le modifiche verranno introdotte gradualmente in tutte le aree di Azure.
Quali criteri TLS del gateway applicazione verranno deprecati?
I criteri predefiniti AppGwSslPolicy20150501 e AppGwSslPolicy20170401 che supportano le versioni TLS 1.0 e 1.1 verranno rimossi dalla configurazione di Azure Resource Manager. Analogamente, i criteri personalizzati non supporteranno più le versioni TLS 1.0 e 1.1 insieme ai pacchetti di crittografia associati. Questo vale sia per gli SKU V1 che V2.
Il team di prodotto del gateway applicazione aggiornerà automaticamente la configurazione a un criterio TLS supportato?
Il gateway applicazione non modificherà alcuna risorsa con configurazioni TLS definite dal cliente. Solo i criteri TLS predefiniti per i gateway che non hanno impostato in modo esplicito un criterio TLS o non dispongono di impostazioni correlate a TLS (ad esempio listener HTTPS o TLS) verranno aggiornati automaticamente per l'uso di AppGwSslPolicy20220101.
Il gateway passerà in stato Non riuscito?
Se nella configurazione del gateway è stato selezionato un criterio TLS obsoleto e non viene aggiornato con un criterio supportato entro agosto 2025, il gateway entrerà in stato Non riuscito durante l'esecuzione di un aggiornamento della configurazione.
Una configurazione TLS non funzionante, ad esempio un SSLProfile non collegato ad alcun listener, non avrà alcun impatto sul piano di controllo del gateway.
Quando è prevista la release di questa modifica?
Data la scalabilità della flotta, dopo il 30 agosto 2025 la deprecazione delle versioni TLS verrà implementata separatamente per i piani controllo e dati. I dettagli specifici per ogni area non saranno disponibili. Pertanto, è consigliabile eseguire tutte le azioni necessarie al più presto.
Esiste un potenziale impatto se non sono stati selezionati criteri TLS e il gateway usa solo configurazioni HTTP/TCP?
Se il gateway non usa alcuna configurazione TLS, tramite SSLPolicy, SSLProfile, HTTPS o listener TLS, non ci sarà alcun impatto dopo agosto 2025.
Passaggi successivi
Informazioni sui tipi di criteri e sulle configurazioni TLS Visitare Gli aggiornamenti di Azure per la notifica di ritiro