Migrazione a TLS 1.2 per Azure Resource Manager

  • Articolo

Transport Layer Security (TLS) è un protocollo di sicurezza che stabilisce canali di crittografia su reti di computer. TLS 1.2 è lo standard di settore corrente ed è supportato da Azure Resource Manager. Per la compatibilità con le versioni precedenti, Azure Resource Manager supporta anche versioni precedenti, ad esempio TLS 1.0 e 1.1, ma il supporto sta terminando.

Per garantire che Azure sia conforme ai requisiti normativi e garantire una maggiore sicurezza per i clienti, Azure Resource Manager smetterà di supportare i protocolli precedenti a TLS 1.2 il 30 settembre 2024.

Questo articolo fornisce indicazioni per la rimozione delle dipendenze dai protocolli di sicurezza meno recenti.

Perché eseguire la migrazione a TLS 1.2

TLS crittografa i dati inviati tramite Internet per impedire agli utenti malintenzionati di accedere a informazioni riservate e private. Il client e il server eseguono un handshake TLS per verificare l'identità dell'altro e determinare come comunicheranno. Durante l'handshake, ogni parte identifica le versioni TLS usate. Il client e il server possono comunicare se supportano entrambe una versione comune.

TLS 1.2 è più sicuro e veloce rispetto ai predecessori.

Azure Resource Manager è il servizio di distribuzione e gestione di Azure. Si usa Azure Resource Manager per creare, aggiornare ed eliminare risorse nell'account Azure. Per rafforzare la sicurezza e attenuare eventuali attacchi di downgrade del protocollo futuri, Azure Resource Manager non supporterà più TLS 1.1 o versioni precedenti. Per continuare a usare Azure Resource Manager, assicurarsi che tutti i client che chiamano Azure usino TLS 1.2 o versione successiva.

Preparare la migrazione a TLS 1.2

Per preparare la migrazione dei client a TLS 1.2, è consigliabile seguire questa procedura:

  • Aggiornare il sistema operativo alla versione più recente.

  • Aggiornare le librerie e i framework di sviluppo alle versioni più recenti. Ad esempio, Python 3.8 supporta TLS 1.2.

  • Correggere le istanze hardcoded dei protocolli di sicurezza precedenti a TLS 1.2.

  • Notificare ai clienti e ai partner la migrazione del prodotto o del servizio a TLS 1.2.

Per indicazioni più dettagliate, vedere l'elenco di controllo per deprecare le versioni tls precedenti nell'ambiente in uso.

Suggerimenti rapidi

  • Windows 8+ ha TLS 1.2 abilitato per impostazione predefinita.

  • Windows Server 2016+ dispone di TLS 1.2 abilitato per impostazione predefinita.

  • Quando possibile, evitare di impostare come hardcoding la versione del protocollo. Configurare invece le applicazioni per rinviare sempre alla versione TLS predefinita del sistema operativo.

    Ad esempio, è possibile abilitare il SystemDefaultTLSVersion flag nelle applicazioni .NET Framework per rinviare alla versione predefinita del sistema operativo. Questo approccio consente alle applicazioni di sfruttare le versioni future di TLS.

    Se non è possibile evitare hardcoding, specificare TLS 1.2.

  • Aggiornare le applicazioni destinate a .NET Framework 4.5 o versioni precedenti. Usare invece .NET Framework 4.7 o versione successiva perché queste versioni supportano TLS 1.2.

    Ad esempio, Visual Studio 2013 non supporta TLS 1.2. Usare invece almeno la versione più recente di Visual Studio 2017.

  • È possibile usare Qualys SSL Labs per identificare la versione TLS richiesta dai client che si connettono all'applicazione.

  • È possibile usare Fiddler per identificare la versione TLS usata dal client quando si inviano richieste HTTPS.

Passaggi successivi