Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ Front Door Standard/Premium ✔️ Front Door (классическая) ✔️ CDN стандарт от Майкрософт (классическая модель)
1 апреля 2026 г. Azure Front Door (стандартный, премиум и классический) и Azure CDN от Microsoft (классический) прекратят поддержку следующих слабых наборов шифров DHE для подключений TLS от клиента к службе и от службы к источнику:
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Кого затрагивает проблема?
Если какое-либо из следующих утверждений верно, это затронет вас:
- Клиенты (браузеры, агенты или устройства) должны требовать один из наборов шифров DHE при подключении к конечной точке Front Door/CDN.
- Ваши источники должны поддерживать один из устаревших наборов шифров DHE при подключении Front Door/CDN к источнику.
Как я могу узнать, если это меня затронет?
- Затронутые подписки и ресурсы будут получать уведомления о работоспособности служб Azure и уведомления по электронной почте.
- Затронутый этап подключения ("клиент к службе" или "служба к источнику" или оба) будет упоминаться в уведомлении.
Каково влияние, если я не действую?
- Подключения, которые могут использовать только устаревшие шифры DHE, не пройдут подтверждение TLS (для клиентов) или завершатся сбоем при согласовании сервиса с сервером происхождения (для источников).
- Типичные симптомы включают сбой подтверждения / отсутствие общих ошибок шифра / недопустимая ошибка шифра в клиентах или журналах сервера-источника.
Необходимые действия
- Убедитесь, что серверы-источники отключают шифры DHE и включите рекомендуемые наборы шифров.
- Сообщите клиентам, чтобы отключить шифры DHE и включить рекомендуемые наборы шифров.
Рекомендуемые наборы шифров
Для обеспечения оптимальной совместимости и безопасности в Azure Front Door или конечных точках и источниках Azure CDN рекомендуется использовать следующие наборы шифров:
- TLS_AES_256_GCM_SHA384 (только TLS 1.3)
- TLS_AES_128_GCM_SHA256 (только TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Обновление наборов шифров для распространенных типов источников
| Услуга | Метод конфигурации |
|---|---|
| Служба приложений Azure | Используйте параметры TLS/SSL, чтобы задать минимальную версию TLS или использовать шаблоны ARM для точного управления шифрами. |
| Шлюз приложений Azure | Создайте политику SSL (предопределенную или пользовательскую), чтобы выбрать определенные наборы шифров. |
| Управление API Azure | Измените параметры экземпляра службы, чтобы отключить определенные шифры с помощью колонки "Протоколы и шифры". |
Часто задаваемые вопросы
Влияет ли это как на подключения клиента, так и к источнику?
Да. Вывод из эксплуатации применяется как для подключения клиента к службе, так и для маршрутов от службы к месту происхождения. Обновите обе стороны, чтобы избежать проблем.
Что делать, если мне по-прежнему нужна устаревшая совместимость клиента?
Шансы, что современный клиент или сервер будет требовать шифры TLS_DHE как обязательные, крайне низки, так как в большинстве случаев эти шифры были заменены более безопасными шифрами TLS_ECDHE. Сообщите устаревшим клиентам о поддержке TLS 1.2/1.3 с ECDHE. Если вы управляете управляемыми клиентами, обновите политику TLS.
Следует ли вносить какие-либо изменения в профили Front Door или CDN?
В качестве необязательной меры для профилей Front Door Standard или Premium можно также использовать функцию настройки политики TLS Azure Front Door , чтобы отключить шифры DHE заранее до 1 апреля 2026 года. Этот параметр недоступен для других уровней.
Для всех профилей Front Door (стандартный, премиум, классический) и Azure CDN от Microsoft (классический) команда Microsoft отключит шифры DHE после 1 апреля 2026 года.