Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
28 Temmuz 2025 itibarıyla App Service Yönetilen Sertifikalarında (ASMC) yapılan değişiklikler sertifikaların belirli senaryolarda nasıl verildiğini ve yenilendiğini etkiler. Çoğu müşterinin işlem gerçekleştirmesi gerekmez ancak daha fazla bilgi için ASMC ayrıntılı blog gönderimizi gözden geçirmenizi öneririz.
Aktarım Katmanı Güvenliği (TLS), sunucular ve istemciler arasındaki bağlantıları ve iletişimleri güvenli hale getirmek için tasarlanmış, yaygın olarak benimsenmiş bir güvenlik protokolüdür. Azure App Service'da, web uygulamalarınızda gelen isteklerin güvenliğini sağlamaya yardımcı olmak için TLS ve Güvenli Yuva Katmanı (SSL) sertifikalarını kullanabilirsiniz.
App Service, aşağıdakilerin sağlanmasına yardımcı olmak için TLS'yi destekler:
- Aktarımdaki verilerin şifrelenmesi.
- Güvenilen sertifikalar aracılığıyla web uygulamalarının kimlik doğrulaması.
- İletim sırasında verilerin kurcalanma önlemesi.
Tavsiye
Azure Copilot şu soruları da sorabilirsiniz:
- App Service'te hangi TLS sürümleri desteklenir?
- Önceki sürümler yerine TLS 1.3 kullanmanın avantajları nelerdir?
- App Service Environment için şifre paketi sırasını nasıl değiştirebilirim?
Azure portalında sayfa üst bilgisinde Copilot öğesini seçin.
TLS sürüm desteği
App Service, web uygulamanıza gelen istekler için aşağıdaki TLS sürümlerini destekler:
- TLS 1.3. En son ve en güvenli sürüm artık tam olarak destekleniyor.
- TLS 1.2. Yeni web uygulamaları için varsayılan en düşük TLS sürümü.
- TLS 1.1 ve TLS 1.0. Bunlar eski protokollerdir ve artık güvenli olarak kabul edilmez.
Web uygulamanıza ve Kaynak Denetim Yöneticisi (SCM) sitesine gelen istekler için en düşük TLS sürümünü yapılandırabilirsiniz. Varsayılan olarak, en düşük değer TLS 1.2 olarak ayarlanır.
Azure Policy kaynaklarınızı ve en düşük TLS sürümünü denetlemenize yardımcı olabilir. App Service uygulamaları en son TLS sürüm ilkesi tanımını kullanmalıdır bölümüne gidin ve değerleri web uygulamalarınızın kullanmasını istediğiniz en düşük TLS sürümüyle değiştirin. Diğer App Service kaynaklarıyla ilgili ilke tanımları hakkında bilgi için bkz. Yerleşik ilke tanımları listesi - App Service için Azure Policy.
TLS 1.3
TLS 1.3, App Service'te tam olarak desteklenir ve TLS 1.2 üzerinde çeşitli geliştirmeler sağlar:
- Basitleştirilmiş şifreleme paketleri ve iletme gizliliği ile daha güçlü güvenlik.
- Daha kısa gecikme süresi için daha hızlı el sıkışması.
- Gelişmiş gizlilik için şifreli el sıkışma iletileri.
Tüm gelen istekler için TLS 1.3'e ihtiyaç duyması için Minimum Gelen TLS SürümüTLS 1.3 olarak Azure portalında, Azure CLI veya Azure Resource Manager şablonunuzda (ARM şablonu) ayarlayın.
TLS 1.3, sabit ve özelleştirilemeyen aşağıdaki şifre paketlerini destekler:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Bu paketler güçlü şifreleme sağlar ve TLS 1.3 anlaşması yapıldığında otomatik olarak kullanılır.
TLS 1.2
TLS 1.2, App Service için varsayılan TLS sürümüdür. Güçlü şifreleme ve geniş uyumluluk sağlar ve Ödeme Kartı Sektör Veri Güvenliği Standardı (PCI DSS) gibi uyumluluk standartlarını karşılar. Varsayılan olarak, siz değiştirmediğiniz sürece yeni web uygulamaları ve SCM uç noktaları TLS 1.2 kullanır.
App Service, şifrelenmiş bağlantıların sağlanmasına ve bilinen güvenlik açıklarına karşı korunmasına yardımcı olmak için güvenli bir TLS 1.2 şifreleme paketleri kümesi kullanır. Geriye dönük uyumluluk için TLS 1.1 ve TLS 1.0'ı etkinleştirebilirsiniz ancak TLS 1.2 veya sonraki bir sürümü kullanmanızı öneririz.
TLS 1.1 ve TLS 1.0
TLS 1.1 ve TLS 1.0 eski protokollerdir ve artık güvenli olarak kabul edilmez. Yeni uygulamalar için varsayılan en düşük TLS sürümü TLS 1.2'dir ve TLS 1.1 veya TLS 1.0 kullanan uygulamaları TLS 1.2 veya üzerini kullanmaya geçirmenizi öneririz.
En düşük TLS şifreleme paketi
Uyarı
Minimum TLS Şifreleme Paketi ayarı, Temel SKU'larda veya çok kiracılı App Service'te daha yüksek bir sürümde desteklenir.
En düşük TLS şifreleme paketi, değiştirememeniz için en uygun öncelik sırasına sahip sabit bir şifre paketleri listesi içerir. Şifreleme paketlerini yeniden sıralamanızı veya yeniden önceliklendirmenizi, bunun web uygulamalarınızda daha zayıf şifrelemeyi etkinleştirebileceğinden, önermiyoruz. Ayrıca bu listeye yeni veya farklı şifreleme paketleri ekleyemezsiniz. En düşük şifreleme paketini seçtiğinizde, sistem web uygulamanız için tüm daha az güvenli şifreleme paketlerini otomatik olarak engeller. Yalnızca bazı zayıf şifreleme paketlerini seçmeli olarak engelleyemezsiniz.
Şifreleme paketleri nedir ve App Service'te nasıl çalışır?
Şifreleme paketi, istemciler ve sunucular arasındaki ağ bağlantılarının güvenliğini sağlamaya yardımcı olmak için algoritmalar ve protokoller içeren bir yönerge kümesidir. Varsayılan olarak, ön uç işletim sistemi hem App Service'in hem de istemcinin desteklediği en güvenli şifreleme paketini seçer. Ancak, istemci yalnızca zayıf şifreleme paketlerini destekliyorsa, ön uç işletim sistemi zayıf bir şifreleme paketi seçer. Kuruluşunuz izin verilen şifreleme paketlerini kısıtlarsa, web uygulamanız için zayıf şifreleme paketlerinin engellenmesini sağlamak için web uygulamanızın en düşük TLS şifreleme paketi özelliğini güncelleştirebilirsiniz.
FrontEndSSLCipherSuiteOrder küme ayarıyla App Service Environment
Küme ayarının FrontEndSSLCipherSuiteOrder yapılandırıldığı App Service Ortamları için ayarlarınızı, iki TLS 1.3 şifreleme paketini içerecek şekilde güncelleyin:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Küme ayarınızı güncelleştirdikten sonra değişikliklerin etkili olması için ön ucunuzu yeniden başlatmanız gerekir. Ayrıca, ayarlarınızı TLS 1.3'ün desteklenmesi için güncelleştirdiğinizde bile, daha önce açıklanan iki gerekli şifreleme paketlerini de eklemeniz gerekir. kullanıyorsanız FrontEndSSLCipherSuiteOrder, web uygulamanız için En Düşük TLS Şifreleme Paketi'ni de etkinleştirmenizi önermeyiz. Sonuç, çakışan yapılandırmalar olabilir. Şifreleme paketi tercihlerini yönetmek için bu seçeneklerden yalnızca birini yapılandırın.
Uçtan uca TLS şifrelemesi
Uçtan uca (E2E) TLS şifrelemesi, App Service içindeki ön uçtan uca iletişimin TLS aracılığıyla şifrelenmesini sağlar. Bu özellik olmadan, gelen HTTPS istekleri ön uçlara şifrelense de, ön uçlardan uygulama iş yüklerini çalıştıran çalışanlara giden trafik, Azure altyapısı içinde şifrelenmemiş olarak ilerler.
E2E TLS, aralarındaki trafiğin tam olarak şifrelenmesini sağlamaya yardımcı olur:
- İstemciler ve App Service ön yüzleri.
- App Service ön uçları ve uygulamayı barındıran işleyici süreçler.
Bu özellik şu tarihinde kullanılabilir:
- Premium App Service planları (yeni dağıtımlar için önerilir).
- Eski Standart App Service planları (mevcut dağıtımlar).
Önemli
E2E şifrelemesi ve diğer gelişmiş güvenlik özellikleri gerektiren yeni dağıtımlar için premium planlar önerilir.
Uçtan uca TLS şifrelemesini etkinleştirme
E2E TLS şifrelemesini şu şekilde etkinleştirebilirsiniz:
- Azure portal ayarları.
- Azure CLI komutları.
- Otomasyon için ARM şablonları.
E2E TLS şifrelemesini etkinleştirdikten sonra, web uygulamanız için tüm küme içi iletişimler TLS aracılığıyla şifrelenir ve bu da uçtan uca veri koruması sağlar.
App Service'te TLS/SSL sertifikaları
APP Service, HTTPS trafiği sunmak için özel etki alanınıza bağlı bir TLS/SSL sertifikası gerektirir. App Service, tam olarak yönetilen ücretsiz sertifikalardan müşteri tarafından yönetilen sertifikalara kadar birçok sertifika seçeneği sunar.
Sertifika türleri
App Service tarafından yönetilen sertifikalar (Ücretsiz)
- Hiçbir ücret ödemeden sağlanır.
- Otomatik yenileme dahil olmak üzere App Service tarafından tamamen yönetilir.
- Bu sertifikalara App Service dışında erişemez, bunları dışarı aktaramaz veya kullanamazsınız.
- Joker karakter veya özel kök CA'lar için destek yoktur.
App Service sertifikaları (ASC)
- GoDaddy tarafından verilen ücretli sertifikalar.
- Sertifikanın sahibi sizsiniz ve sertifikayı yönetebilirsiniz.
- Anahtar kasanızda depolanır. App Service dışında dışarı aktarılabilir ve kullanılabilir.
Kendi Sertifikanı Getir (KSG)
- Kendi TLS/SSL sertifikalarınızı (PFX biçimi) karşıya yükleyin ve yönetin.
- Tamamen müşteri tarafından yönetilen.
Bu seçeneklerin her biri, güvenlik ve yönetim gereksinimlerinizi karşılamak için esneklik sağlar.
Sertifikaları özel etki alanlarına bağlama
Bir sertifikayı karşıya yükledikten veya oluşturduktan sonra, aşağıdakileri kullanarak bu sertifikayı web uygulamanızdaki özel bir etki alanına bağlarsınız:
- Çok kiracılı barındırma için SNI (Sunucu Adı Göstergesi) SSL bağlamaları.
- Ayrılmış IP adresleri için IP SSL bağlamaları.
Uyarı
Azure yönetilen etki alanları (*.azurewebsites.net gibi) varsayılan sertifikalarla otomatik olarak güvenli hale getirildiğinden ek yapılandırma gerekmez.
Karşılıklı TLS (mTLS) kimlik doğrulaması
App Service, hem Linux hem de Windows App Service planlarında karşılıklı TLS(mTLS) desteği olduğundan, uygulamalar ek güvenlik için istemci sertifikaları gerektirebilir.
mTLS nasıl çalışır?
- İstemciler, yapılandırdığınız güvenilir bir CA zincirinde doğrulanmış sertifikalar sunar.
- Yalnızca geçerli sertifikaları olan istemciler bağlanabilir.
- Genellikle API'lerin ve iç uygulamaların güvenliğini sağlamak için kullanılır.
Yapılandırma seçenekleri
- Azure portalını, Azure CLI veya ARM şablonlarını kullanarak mTLS'yi etkinleştirin.
- İstemci doğrulaması için güvenilen CA sertifikalarını karşıya yükleyin.
- İstek üst bilgileri aracılığıyla uygulama kodundaki istemci sertifikası bilgilerine erişin.
Otomatik sertifika yönetimi
App Service sertifikaları otomatik olarak yönetmek için yerleşik özellikler sağlar:
App Service tarafından yönetilen sertifikalar (ücretsiz). Özel etki alanları için otomatik olarak verilmekte ve yenilenmektedir. Bu sertifikalar temel etki alanı doğrulamasıyla sınırlıdır ve joker karakter veya dışarı aktarılabilir sertifikaları desteklemez.
App Service sertifikaları (ücretli). Yıldızlı alan adları ve dışarı aktarılabilir sertifikalar dahil olmak üzere gelişmiş senaryoları destekleyen tam yönetimli sertifikalar. Bu sertifikalar Azure Key Vault depolanır ve yönetilir.
App Service, TLS ve SSL kullanarak web uygulamalarınızın güvenliğini sağlamayı kolaylaştırır. Modern TLS sürümleri, esnek sertifika seçenekleri ve karşılıklı TLS gibi gelişmiş özellikler için destek sunan App Service, aktarımdaki verileri korumanıza ve uyumluluk gereksinimlerini karşılamanıza yardımcı olur.