Översikt över Azure App Service TLS

Kommentar

Kunder kanske känner till meddelandet om tillbakadragning av TLS 1.0 och 1.1 för interaktioner med Azure-tjänster. Den här tillbakadragningen påverkar inte program som körs i App Service eller Azure Functions. Program på antingen App Service eller Azure Functions som har konfigurerats för att acceptera TLS 1.0 eller TLS 1.1 för inkommande begäranden fortsätter att köras opåverkade.

Vad gör TLS i App Service?

Transport Layer Security (TLS) är ett allmänt antaget säkerhetsprotokoll som utformats för att skydda anslutningar och kommunikation mellan servrar och klienter. Med App Service kan kunder använda TLS/SSL-certifikat för att skydda inkommande begäranden till sina webbappar. App Service har för närvarande stöd för olika TLS-funktioner som kunder kan använda för att skydda sina webbappar.

Dricks

Du kan också ställa följande frågor till Azure Copilot:

• Vilka versioner av TLS stöds i App Service?
• Vilka är fördelarna med att använda TLS 1.3 jämfört med tidigare versioner?
• Hur ändrar jag chiffersvitordningen för mina App Service-miljön?

Om du vill hitta Azure Copilot väljer du Copilot i verktygsfältet Azure Portal.

TLS-version som stöds i App Service?

För inkommande begäranden till webbappen stöder App Service TLS-versionerna 1.0, 1.1, 1.2 och 1.3.

Ange lägsta TLS-version

Följ de här stegen för att ändra den lägsta TLS-versionen av din App Service-resurs:

1. Bläddra till din app i Azure Portal
2. I den vänstra menyn väljer du konfiguration och väljer sedan fliken Allmänna inställningar .
3. På Lägsta inkommande TLS-version väljer du önskad version med hjälp av listrutan.
4. Välj Spara för att spara ändringarna.

Lägsta TLS-version med Azure Policy

Du kan använda Azure Policy för att granska dina resurser när det gäller lägsta TLS-version. Du kan referera till App Service-appar bör använda den senaste TLS-versionsprincipdefinitionen och ändra värdena till önskad lägsta TLS-version. Liknande principdefinitioner för andra App Service-resurser finns i Lista över inbyggda principdefinitioner – Azure Policy för App Service.

Lägsta TLS-version och lägsta TLS-version för SCM

Med App Service kan du också ange lägsta TLS-version för inkommande begäranden till din webbapp och till SCM-webbplatsen. Som standard är den lägsta TLS-versionen för inkommande begäranden till webbappen och till SCM inställd på 1.2 på både portalen och API:et.

TLS 1.3

Inställningen Minsta TLS-chiffersvit är tillgänglig med TLS 1.3. Detta inkluderar två chiffersviter högst upp i chiffersvitordningen:

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

TLS 1.0 och 1.1

TLS 1.0 och 1.1 betraktas som äldre protokoll och anses inte längre vara säkra. Vi rekommenderar vanligtvis att kunder använder TLS 1.2 eller senare som lägsta TLS-version. När du skapar en webbapp är den lägsta TLS-standardversionen TLS 1.2.

För att säkerställa bakåtkompatibilitet för TLS 1.0 och TLS 1.1 fortsätter App Service att stödja TLS 1.0 och 1.1 för inkommande begäranden till webbappen. Men eftersom den lägsta TLS-standardversionen är inställd på TLS 1.2 måste du uppdatera de minsta TLS-versionskonfigurationerna i webbappen till TLS 1.0 eller 1.1 så att begärandena inte avvisas.

Viktigt!

Inkommande begäranden till webbappar och inkommande begäranden till Azure behandlas på olika sätt. App Service fortsätter att ha stöd för TLS 1.0 och 1.1 för inkommande begäranden till webbapparna. För inkommande begäranden direkt till Azure-kontrollplanet, till exempel via ARM- eller API-anrop, rekommenderas det inte att använda TLS 1.0 eller 1.1.

Minsta TLS-chiffersvit (förhandsversion)

Kommentar

Minsta TLS-chiffersvit stöds på Premium-SKU:er och högre på App Service för flera klientorganisationer.

Den minsta TLS-chiffersviten innehåller en fast lista över chiffersviter med en optimal prioritetsordning som du inte kan ändra. Det rekommenderas inte att ordna om eller omprioritera chiffersviterna eftersom det kan utsätta dina webbappar för svagare kryptering. Du kan inte heller lägga till nya eller olika chiffersviter i den här listan. När du väljer en minsta chiffersvit inaktiverar systemet automatiskt alla mindre säkra chiffersviter för webbappen, utan att du selektivt kan inaktivera vissa svagare chiffersviter.

Vad är chiffersviter och hur fungerar de i App Service?

En chiffersvit är en uppsättning instruktioner som innehåller algoritmer och protokoll för att skydda nätverksanslutningar mellan klienter och servrar. Som standard skulle klientdelens operativsystem välja den säkraste chiffersviten som stöds av både App Service och klienten. Men om klienten bara stöder svaga chiffersviter skulle klientdelens operativsystem i slutändan välja en svag chiffersvit som stöds av dem båda. Om din organisation har begränsningar för vilka chiffersviter som inte ska tillåtas kan du uppdatera webbappens minsta TLS-chiffersvitegenskap för att säkerställa att de svaga chiffersviterna inaktiveras för webbappen.

App Service-miljön (ASE) V3 med klusterinställningFrontEndSSLCipherSuiteOrder

För App Service-miljön med FrontEndSSLCipherSuiteOrder klusterinställning måste du uppdatera inställningarna så att de innehåller två chiffersviter för TLS 1.3 (TLS_AES_256_GCM_SHA384 och TLS_AES_128_GCM_SHA256). När den har uppdaterats startar du om klientdelen för att ändringen ska börja gälla. Du måste fortfarande inkludera de två nödvändiga chiffersviterna som anges i dokumenten.

TLS-kryptering från slutpunkt till slutpunkt (förhandsversion)

TLS-kryptering från slutpunkt till slutpunkt (E2E) är tillgängligt i Standard App Service-planer och högre. Klientdelens intraklustertrafik mellan App Service-klientdelar och de arbetare som kör programarbetsbelastningar kan nu krypteras.

Nästa steg

• Skydda ett anpassat DNS-namn med en TLS/SSL-bindning