2025 年 8 月 31 日から、Azure Application Gateway では TLS (トランスポート層セキュリティ) バージョン 1.0 と 1.1 はサポートされなくなります。 この変更は、セキュリティを強化するために、これらの TLS バージョンの Azure 全体の提供終了 に合わせて調整されます。 Application Gateway リソースの所有者は、これらの古いバージョンを使用している可能性があるフロントエンド クライアントとバックエンド サーバーの両方の TLS 接続を確認する必要があります。
フロントエンド TLS 接続
TLS バージョン 1.0 と 1.1 の廃止により、カスタム TLS ポリシーから以前の定義済み TLS ポリシーと特定の暗号スイートが削除されます。 ゲートウェイの構成によっては、一般的な TLS ポリシー と リスナー固有の TLS ポリシーの両方のポリシー関連付けを確認する必要があります。
一般的な TLS ポリシー - ポータルビュー ポータル
リスナー固有の TLS ポリシー - ポータルビューポータル
V2 SKU の定義済みポリシー
TLS v1.0 と 1.1 をサポートする定義済みのポリシー 20150501と20170401は廃止され、2025 年 8 月以降は Application Gateway リソースに関連付けなくなります。 推奨される TLS ポリシー (20220101 または 20220101S) のいずれかに移行することをお勧めします。 または、特定の暗号スイートが必要な場合は、20170401S ポリシーを使用することもできます。
V2 SKU のカスタム ポリシー
Azure Application Gateway V2 SKU には、Custom と CustomV2 の 2 種類のカスタム ポリシーが用意されています。 これらの TLS バージョンの廃止は、"カスタム" ポリシーにのみ影響します。 新しい "CustomV2" ポリシーには TLS v1.3 が付属しています。 2025 年 8 月以降、以前のカスタム ポリシーでは TLS v1.2 のみがサポートされ、次の暗号スイートはサポートされません。
| サポートされていない暗号スイート |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
V1 SKU の定義済みポリシー
V1 SKU では、TLS バージョン 1.0 および 1.1 の古いポリシーが廃止された後にのみ、20170401S ポリシーがサポートされます。 新しい20220101または 20220101S ポリシーは、間もなくto-be廃止された V1 SKU では使用できなくなります。
V1 SKU のカスタム ポリシー
Application Gateway V1 SKU では、以前の "カスタム" ポリシーのみがサポートされます。 2025 年 8 月以降、この古いカスタム ポリシーでは TLS v1.2 のみがサポートされ、次の暗号スイートはサポートされません。
| サポートされていない暗号スイート |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
バックエンド TLS 接続
TLS ポリシーの選択ではバックエンド TLS 接続を制御できないため、バックエンド接続の TLS バージョン用に Application Gateway で何も構成する必要はありません。 退職後は、
- V2 SKU の場合:バックエンド サーバーへの接続は常に優先 TLS v1.3 で、TLS v1.2 までの最小値が使用されます
- V1 SKU の場合: バックエンド サーバーへの接続は常に TLS v1.2 になります
バックエンド プール内のサーバーが、これらの更新されたプロトコル バージョンと互換性があることを確認する必要があります。 この互換性により、これらのバックエンド サーバーとの TLS/HTTPS 接続を確立するときの中断を回避できます。
次のステップ
TLS ポリシーの種類と構成について学びます。廃止通知については、Azure の更新プログラムにアクセスしてください。