Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Kommentar
Tillbakadragandet av TLS 1.1 och TLS 1.0 i Azure-tjänster påverkar inte program som körs på Azure App Service, Azure Functions eller Azure Logic Apps (Standard). Program på App Service, Azure Functions eller Logic Apps (Standard) som är konfigurerade att acceptera TLS 1.1 eller TLS 1.0 för inkommande begäranden fortsätter att köras opåverkade.
Transport Layer Security (TLS) är ett allmänt antaget säkerhetsprotokoll som är utformat för att skydda anslutningar och kommunikation mellan servrar och klienter. I Azure App Service kan du använda TLS- och SSL-certifikat (Secure Sockets Layer) för att skydda inkommande begäranden i dina webbappar.
App Service har stöd för TLS för att säkerställa:
- Kryptering av data under överföring.
- Autentisering av webbappar med hjälp av betrodda certifikat.
- Integritet för att förhindra manipulering av data under överföring.
Tips
Du kan också ställa följande frågor till Azure Copilot, en AI-driven assistent i Azure-portalen:
- Vilka versioner av TLS stöds i App Service?
- Vilka är fördelarna med att använda TLS 1.3 i stället för tidigare versioner?
- Hur kan jag ändra ordningen på chiffersviten för min App Service Environment-miljö?
I sidhuvudet i Azure-portalen väljer du Copilot.
Stöd för TLS-version
Azure App Service stöder följande TLS-versioner för inkommande begäranden till din webbapp:
- TLS 1.3: Den senaste och säkraste versionen, som nu stöds fullt ut.
- TLS 1.2: Standardvärdet för lägsta TLS-version för nya webbappar.
- TLS 1.1 och TLS 1.0: Versioner som stöds för bakåtkompatibilitet, men rekommenderas inte.
Du kan konfigurera den lägsta TLS-versionen för inkommande begäranden till webbappen och dess SCM-webbplats (Source Control Manager). Som standard är minimivärdet TLS 1.2.
Du kan använda Azure Policy för att granska dina resurser och lägsta TLS-version. Gå till App Service-appar bör använda den senaste principdefinitionen för TLS-versionen och ändra värdena till den lägsta TLS-version som du vill att dina webbappar ska använda. Relaterade principdefinitioner för andra App Service-resurser finns i Lista över inbyggda principdefinitioner – Azure Policy för App Service.
TLS 1.3
TLS 1.3 stöds fullt ut i App Service och introducerar flera förbättringar jämfört med TLS 1.2:
- Starkare säkerhet, med förenklade chiffersviter och framåtgående sekretesse.
- Snabbare handskakningar för kortare svarstid.
- Krypterade handskakningsmeddelanden för förbättrad sekretess.
Om du vill kräva TLS 1.3 för alla inkommande begäranden anger du Lägsta inkommande TLS-version till TLS 1.3 i Azure-portalen, Azure CLI eller din Azure Resource Manager-mall (ARM-mall).
TLS 1.3 stöder följande chiffersviter som är fasta och inte kan anpassas:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Dessa sviter ger stark kryptering och används automatiskt när TLS 1.3 förhandlas.
TLS 1.2
TLS 1.2 är standardversionen av TLS för App Service. Den ger stark kryptering och bred kompatibilitet samtidigt som den uppfyller efterlevnadsstandarder som Payment Card Industry Data Security Standard (PCI DSS). Nya webbappar och SCM-slutpunkter använder som standard TLS 1.2 om du inte ändrar dem.
Azure App Service använder en säker uppsättning TLS 1.2-chiffersviter för att säkerställa krypterade anslutningar och för att skydda mot kända säkerhetsrisker. Även om du kan aktivera TLS 1.1 och TLS 1.0 för bakåtkompatibilitet rekommenderar vi att du använder en lägsta version av TLS 1.2.
TLS 1.1 och TLS 1.0
TLS 1.1 och TLS 1.0 betraktas som äldre protokoll och anses inte längre vara säkra. Dessa versioner stöds endast i App Service för bakåtkompatibilitet och bör undvikas när det är möjligt. Standardvärdet för lägsta TLS-version för nya appar är TLS 1.2, och vi rekommenderar att du migrerar appar som använder TLS 1.1 eller TLS 1.0.
Viktigt!
Inkommande begäranden till webbappar och inkommande begäranden till Azure hanteras på olika sätt. App Service fortsätter att ha stöd för TLS 1.1 och TLS 1.0 för inkommande begäranden till webbappar.
För inkommande begäranden som görs direkt till Azure-kontrollplanet, till exempel via Azure Resource Manager- eller API-anrop, rekommenderar vi att du inte använder TLS 1.1 eller TLS 1.0.
Minsta TLS-chiffersvit
Kommentar
Inställningen Minsta TLS-chiffersvit stöds på Basic SKU:er eller högre på App Service som stöder flera användare.
Den minsta TLS-chiffersviten innehåller en fast lista över chiffersviter med en optimal prioritetsordning som du inte kan ändra. Det rekommenderas inte att ändra ordning på eller omprioritera chiffersviterna eftersom det kan utsätta dina webbappar för svagare kryptering. Du kan inte heller lägga till nya eller olika chiffersviter i den här listan. När du väljer en minsta chiffersvit inaktiverar systemet automatiskt alla mindre säkra chiffersviter för webbappen. Du kan inte selektivt inaktivera endast vissa svagare chiffersviter.
Vad är chiffersviter och hur fungerar de i App Service?
En chiffersvit är en uppsättning instruktioner som innehåller algoritmer och protokoll för att skydda nätverksanslutningar mellan klienter och servrar. Som standard väljer klientdelens operativsystem den säkraste chiffersviten som både App Service och klientsupporten har. Men om klienten endast stöder svaga chiffersviter väljer klientdelens operativsystem en svag chiffersvit. Om din organisation har begränsningar för vilka chiffersviter som tillåts kan du uppdatera webbappens minsta TLS-chiffersvitegenskap för att säkerställa att svaga chiffersviter är inaktiverade för webbappen.
App Service-miljö med klusterinställning FrontEndSSLCipherSuiteOrder
För App Service-miljöer som har klusterinställningen FrontEndSSLCipherSuiteOrder konfigurerad uppdaterar du inställningarna så att de innehåller de två chiffersviterna för TLS 1.3:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
När du har uppdaterat klusterinställningen måste du starta om klientdelen för att ändringarna ska börja gälla. Dessutom måste du fortfarande inkludera de två nödvändiga chiffersviterna som beskrevs tidigare, även när du uppdaterar för att stödja TLS 1.3. Om du redan använder FrontEndSSLCipherSuiteOrderrekommenderar vi att du inte även aktiverar Minsta TLS-chiffersvit för webbappen . Resultatet kan vara motstridiga konfigurationer. Konfigurera endast ett av dessa alternativ för att hantera inställningarna för chiffersviter.
TLS-kryptering från slutpunkt till slutpunkt
TLS-kryptering från slutpunkt till slutpunkt (E2E) säkerställer att kommunikation mellan klient och arbetare i Azure App Service krypteras med hjälp av TLS. Utan den här funktionen, medan inkommande HTTPS-begäranden krypteras till klientdelen, skulle trafiken från klientdelen till arbetare som kör programarbetsbelastningarna färdas okrypterad i Azures infrastruktur.
E2E TLS hjälper till att säkerställa fullständig kryptering av trafik mellan:
- Klienter och App Service front-end-komponenter
- App Service-fronttjänster och arbetsprocesser som stödjer applikationen
Den här funktionen är tillgänglig på:
- Premium App Service-planer (rekommenderas för nya distributioner)
- Äldre Standard App Service-planer (befintliga användare)
Viktigt!
Premium-planer rekommenderas för nya distributioner som kräver E2E-kryptering och andra avancerade säkerhetsfunktioner.
Aktivera TLS-kryptering från slutpunkt till slutpunkt
Du kan aktivera E2E TLS-kryptering via:
- Inställningar för Azure-portalen
- Azure CLI-kommandon
- ARM-mallar för automatisering
När du har aktiverat E2E TLS-kryptering krypteras all kommunikation inom klustret för webbappen med hjälp av TLS, vilket säkerställer dataskydd från slutpunkt till slutpunkt.
TLS/SSL-certifikat på App Service
För att hantera HTTPS-trafik kräver App Service ett TLS/SSL-certifikat som är bundet till din anpassade domän. App Service erbjuder flera certifikatalternativ, allt från fullständigt hanterade kostnadsfria certifikat till kundhanterade certifikat.
Typer av certifikat
App Service-hanterade certifikat (kostnadsfritt)
- Tillhandahålls utan kostnad.
- Fullständigt hanterad av Azure App Service, inklusive automatisk förnyelse.
- Kunder kan inte komma åt, exportera eller använda dessa certifikat utanför App Service.
- Stöder inte jokertecken eller anpassade rotcertifikatutfärdare.
App Service-certifikat (ASC)
- Betalda certifikat utfärdade av GoDaddy.
- Kunden äger och hanterar certifikatet.
- Lagras i kundens Nyckelvalv (KV) och kan exporteras och användas utanför App Service.
Byoc (Bring Your Own Certificate)
- Ladda upp och hantera dina egna TLS/SSL-certifikat (PFX-format).
- Fullständigt hanterad av kunden.
Vart och ett av dessa alternativ ger flexibilitet baserat på dina säkerhets- och hanteringsbehov.
Binda certifikat till anpassade domäner
När du har laddat upp eller skapat ett certifikat binder du det till en anpassad domän i webbappen med hjälp av:
- SNI-SSL-bindningar (servernamnindikering) för värdtjänster för flera klientorganisationer
- IP SSL-bindningar för dedikerade IP-adresser
Kommentar
Azure-hanterade domäner (till exempel *.azurewebsites.net) skyddas automatiskt med standardcertifikat, så ingen extra konfiguration krävs.
Ömsesidig TLS-autentisering (mTLS)
Azure App Service stöder ömsesidig TLS (mTLS) i både Linux- och Windows App Service-planer, så appar kan kräva klientcertifikat för ökad säkerhet.
Så här fungerar mTLS
- Klienter presenterar certifikat som verifieras mot en betrodd CA-kedja som du konfigurerar.
- Endast klienter som har giltiga certifikat kan ansluta.
- Det används ofta för att skydda API:er och interna appar.
Konfigurationsalternativ
- Aktivera mTLS med hjälp av Azure-portalen, Azure CLI eller ARM-mallar.
- Ladda upp betrodda CA-certifikat för klientverifiering.
- Få åtkomst till information om klientcertifikat i appkod via begärandehuvuden.
Automatisk certifikathantering
Azure App Service tillhandahåller inbyggda funktioner för att hantera certifikat automatiskt:
App Service-hanterade certifikat (kostnadsfritt). Utfärdas och förnyas automatiskt för anpassade domäner. Dessa certifikat är begränsade till grundläggande domänverifiering och stöder inte jokertecken eller exporterbara certifikat.
App Service-certifikat (betalda). Fullständigt hanterade certifikat som stöder avancerade scenarier, inklusive jokerteckendomäner och exporterade certifikat. Dessa certifikat lagras och hanteras i Azure Key Vault.
Azure App Service gör det enkelt att skydda dina webbappar med hjälp av TLS och SSL. Med stöd för moderna TLS-versioner, flexibla certifikatalternativ och avancerade funktioner som ömsesidig TLS hjälper App Service dig att skydda data under överföring och uppfylla efterlevnadskrav.