다음을 통해 공유

Azure Front Door 및 Azure CDN에서 TLS_DHE 암호화 스위트

적용 대상: ✔️ Front Door 표준/프리미엄 ✔️ Front Door (클래식) ✔️ Microsoft의 CDN 표준 (클래식)

2026년 4월 1일, Microsoft의 Azure Front Door(표준, 프리미엄 및 클래식) 및 Azure CDN(클래식) 서비스는 클라이언트와 서비스 간, 그리고 서비스와 원본 간의 TLS 연결에 대해 다음 약한 DHE 암호 스위트는 더 이상 협상하지 않습니다.

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

누가 영향을 받습니까?

다음 중 어느 것이라도 true이면 영향을 받습니다.

  • Front Door/CDN 엔드포인트에 연결할 때 클라이언트(브라우저/에이전트/디바이스)에는 DHE 암호 그룹 중 하나가 필요합니다.
  • Front Door/ CDN이 귀하의 오리진에 연결할 때, 귀하의 오리진은 반드시 사용 중지된 DHE 암호 모음 중 하나를 요구해야 합니다.

영향을 받을지 어떻게 알 수 있나요?

  • 영향을 받는 구독 및 리소스는 Azure 서비스 상태 알림 및 이메일 알림을 받습니다.
  • 영향을 받은 연결 구간('클라이언트에서 서비스로' 또는 '서비스에서 출발지로' 또는 둘 다)이 알림에 언급됩니다.

내가 행동하지 않으면 어떤 영향이 있습니까?

  • 사용 중지된 DHE 암호화만 사용할 수 있는 연결은 TLS 핸드셰이크(클라이언트용)에 실패하거나 원본에 대한 서비스 간 협상에 실패합니다.
  • 일반적인 증상으로는 핸드셰이크 오류/공유 암호 오류 없음/ 클라이언트 또는 원본 서버 로그에서 잘못된 암호 오류가 있습니다.

필요한 동작

  1. 원본 서버에서 DHE 암호화를 사용하지 않도록 설정하고 권장되는 암호 그룹을 사용하도록 설정합니다.
  2. DHE 암호화를 사용하지 않도록 설정하고 권장되는 암호 그룹을 사용하도록 클라이언트에 알릴 수 있습니다.

Azure Front Door/Azure CDN 엔드포인트 및 원본에서 최상의 호환성 및 보안을 위해 다음 암호 그룹을 사용하는 것이 좋습니다.

  • TLS_AES_256_GCM_SHA384(TLS 1.3에만 해당)
  • TLS_AES_128_GCM_SHA256(TLS 1.3에만 해당)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

공통 원본 유형에 대한 암호 그룹 업데이트

서비스 구성 방법
Azure App Service TLS/SSL 설정을 사용하여 "최소 TLS 버전"을 설정하거나 세분화된 암호화 컨트롤에 ARM 템플릿을 사용합니다.
Azure Application Gateway SSL 정책(미리 정의됨 또는 사용자 지정)을 만들어 특정 암호 그룹을 선택합니다.
Azure API Management "프로토콜 및 암호화" 블레이드를 통해 특정 암호화를 사용하지 않도록 서비스 인스턴스 설정을 수정합니다.

자주 묻는 질문

  • 클라이언트 연결과 원본 연결 모두에 영향을 주나요?

    예. 이 은퇴 조치는 서비스 대상 고객과 서비스 제공 원점 구간 모두에 적용됩니다. 문제를 방지하기 위해 양쪽을 업데이트합니다.

  • 레거시 클라이언트 호환성이 여전히 필요한 경우 어떻게 해야 하나요?

    최신 클라이언트 또는 서버에서 TLS_DHE 암호화를 "필수"로 요구할 가능성은 매우 낮습니다. 대부분의 경우 이러한 암호는 보다 안전한 TLS_ECDHE 암호화로 대체되었습니다. ECDHE를 사용하여 TLS 1.2/1.3을 지원하도록 레거시 클라이언트에 알릴 수 있습니다. 제어된 클라이언트를 운영하는 경우 해당 TLS 정책을 업데이트합니다.

  • Front Door 또는 CDN 프로필을 변경해야 하나요?

    선택적 조치로 Front Door 표준/프리미엄 프로필의 경우 Azure Front Door TLS 정책 구성 기능을 사용하여 2026년 4월 1일 이전에 DHE 암호화를 미리 사용하지 않도록 설정할 수도 있습니다. 이 옵션은 다른 계층에서는 사용할 수 없습니다.

    Microsoft(클래식) 프로필의 모든 Front Door(표준, 프리미엄, 클래식) 및 Azure CDN의 경우 Microsoft 팀은 2026년 4월 1일 이후에 DHE 암호화를 사용하지 않도록 설정합니다.

  • Last updated on