Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ Front Door Standard ✔️ Front Door Premium
O Azure Front Door dá suporte à criptografia TLS de ponta a ponta. Quando você adiciona um domínio personalizado ao Azure Front Door, o HTTPS é necessário e você precisa definir uma política TLS que inclua o controle da versão do protocolo TLS e os conjuntos de criptografia durante um handshake do TLS.
O Azure Front Door dá suporte a duas versões do protocolo TLS: as versões 1.2 e 1.3 do TLS. Atualmente, o Azure Front Door não dá suporte à mTLS (autenticação mútua/cliente).
O Azure Front Door Standard e Premium oferecem dois mecanismos para controlar a política TLS. Você pode usar uma política predefinida ou uma política personalizada de acordo com suas próprias necessidades. Se você usar o Azure Front Door (clássico) e a CDN da Microsoft (clássico), continuará usando a versão mínima do TLS 1.2.
- O Azure Front Door oferece várias políticas de TLS predefinidas. Você pode configurar seu AFD com qualquer uma dessas políticas para obter o nível apropriado de segurança. Essas políticas predefinidas são configuradas tendo em mente as melhores práticas e recomendações da equipe de Segurança da Microsoft. É recomendável usar as políticas TLS mais recentes para garantir a melhor segurança TLS.
- Se uma política TLS precisar ser configurada para seus próprios requisitos de negócios e segurança, você poderá usar uma política TLS personalizada. Com uma política TLS personalizada, você tem controle total sobre a versão mínima do protocolo TLS para dar suporte e os conjuntos de criptografia com suporte.
Para uma versão mínima do TLS 1.2, a negociação tentará estabelecer o TLS 1.3 e, em seguida, o TLS 1.2. O cliente deve dar suporte a pelo menos uma das criptografias com suporte para estabelecer uma conexão HTTPS com o Azure Front Door. O Azure Front Door escolhe uma criptografia na ordem listada das criptografias compatíveis com o cliente.
Quando o Azure Front Door iniciar o tráfego TLS para a origem, ele tentará negociar a melhor versão do TLS que a origem puder aceitar de modo confiável e consistente. As versões TLS com suporte para conexões de origem são TLS 1.2 e TLS 1.3.
Observação
Os clientes com TLS 1.3 habilitado devem dar suporte a uma das Curvas EC compatíveis com o SDL da Microsoft, incluindo Secp384r1, Secp256r1 e Secp521, para fazer solicitações de forma bem-sucedida pelo Azure Front Door usando TLS 1.3. É recomendável que os clientes usem uma dessas curvas como sua curva preferencial durante as solicitações para evitar o aumento da latência do handshake do TLS, que pode resultar de várias viagens de ida e volta para negociar a curva EC compatível.
Política TLS predefinida
O Azure Front Door oferece várias políticas de TLS predefinidas. Você pode configurar seu AFD com qualquer uma dessas políticas para obter o nível apropriado de segurança. Os nomes de política são anotados pelas versões mínimas do TLS e pelo ano em que foram configurados (TLSv1.2_2023>). Cada política oferece diferentes versões de protocolo TSL e conjuntos de criptografia. Essas políticas predefinidas são configuradas tendo em mente as melhores práticas e recomendações da equipe de Segurança da Microsoft. É recomendável usar as políticas TLS mais recentes para garantir a melhor segurança TLS.
A tabela a seguir mostra a lista de conjuntos de criptografia e o suporte mínimo de versão do protocolo para cada política predefinida. A ordenação dos conjuntos de criptografia determina a ordem de prioridade durante a negociação de TLS.
Por padrão, TLSv1.2_2023 será selecionado. TLSv1.2_2022 mapeia para a versão mínima do TLS 1.2 no design anterior.
| OpenSSL | Criptografiapacote | TLSv1.2_2023 | TLSv1.2_2022 |
|---|---|---|---|
| Versão mínima do protocolo | 1.2 | 1.2 | |
| Protocolos Suportados | 1.3/1.2 | 1.3./1.2 | |
| TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | Sim | Sim |
| TLS_AES_128_GCM_SHA256 | TLS_AES_128_GCM_SHA256 | Sim | Sim |
| ECDHE-RSA-AES256-GCM-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | Sim | Sim |
| ECDHE-RSA-AES128-GCM-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | Sim | Sim |
| ECDHE-RSA-AES256-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | Sim | |
| ECDHE-RSA-AES128-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | Sim |
Política TLS personalizada
Se uma política TSL tiver que ser configurada para suas necessidades, você poderá usar uma política TSL personalizada. Com uma política TLS personalizada, você tem controle total sobre a versão mínima do protocolo TLS para dar suporte e os conjuntos de criptografia com suporte e sua ordem de prioridade.
Observação
O TLS 1.3 está sempre habilitado independentemente da versão mínima habilitada.
Conjuntos de criptografia
O Azure Front Door dá suporte aos seguintes pacotes de criptografia dos quais você pode escolher sua política personalizada. A ordenação dos conjuntos de criptografia determina a ordem de prioridade durante a negociação de TLS.
- TLS_AES_256_GCM_SHA384 (somente TLS 1.3)
- TLS_AES_128_GCM_SHA256 (somente TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Observação
Para o Windows 10 e versões posteriores, recomendamos habilitar um ou ambos os conjuntos de criptografia ECDHE_GCM para maior segurança. Os Windows 8.1, 8 e 7 não são compatíveis com esses conjuntos de criptografias ECDHE_GCM. Os conjuntos de criptografia ECDHE_CBC foram fornecidos para compatibilidade com esses sistemas operacionais.