你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于:✔️ Front Door 标准版/高级版 ✔️ Front Door(经典) ✔️ CDN Standard from Microsoft(经典)
2026 年 4 月 1 日,Azure Front Door(标准版、高级版和经典版)和来自 Microsoft 的 Azure CDN(经典版)服务将停止为客户端到服务和服务到源 TLS 连接协商以下弱 DHE 密码套件。
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
谁受影响?
如果存在以下任一情况,将受到影响:
- 连接到 Front Door/CDN 终结点时,客户端(浏览器/代理/设备)必须要求一个 DHE 密码套件。
- 在 Front Door/ CDN 与服务器建立连接时,服务器必须使用其中一种已停用的 DHE 加密套件。
如何知道我是否受到影响?
- 受影响的订阅和资源将收到 Azure 服务运行状况通知和电子邮件通知。
- 通知中将提及受影响的连接部分(“客户端到服务”或“服务到源”或两者兼有)。
如果我不采取行动,那有什么影响?
- 只能使用已停用 DHE 密码的连接将无法完成 TLS 握手(对于客户端而言)或在与源的协商服务过程中出现故障(对于源而言)。
- 典型症状包括握手失败/没有共享密码错误/客户端或源服务器日志中的无效密码错误。
必需的操作
- 确保源服务器禁用 DHE 密码并启用建议的密码套件。
- 通知客户端禁用 DHE 密码并启用建议的密码套件。
建议的密码套件
为了在 Azure Front Door/Azure CDN 终结点和源上获得最佳兼容性和安全性,建议使用以下密码套件:
- TLS_AES_256_GCM_SHA384(仅限 TLS 1.3)
- TLS_AES_128_GCM_SHA256(仅限 TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
更新常见源类型的密码套件
| 服务 | 配置方法 |
|---|---|
| Azure App 服务 | 使用 TLS/SSL 设置设置“最低 TLS 版本”或使用 ARM 模板进行精细密码控制。 |
| Azure 应用程序网关 | 创建 SSL 策略(预定义或自定义)以选择特定的密码套件。 |
| Azure API 管理 | 修改服务实例设置,通过“协议和密码”边栏选项卡禁用特定密码。 |
常见问题
这是否会影响客户端连接和源连接?
是的。 停用策略适用于从客户端到服务和从服务到原的两个环节。 将双方系统更新以避免问题。
如果仍需要旧客户端兼容性,该怎么办?
现代客户端或服务器需要TLS_DHE密码作为“必需”的可能性极其低,因为大多数情况下,这些密码已被更安全的TLS_ECDHE密码取代。 通知旧客户端使用 ECDHE 支持 TLS 1.2/1.3。 如果您管理受控客户端,请更新他们的 TLS 策略。
我应该对 Front Door 或 CDN 配置文件进行任何更改吗?
作为可选度量值,对于 Front Door 标准/高级配置文件,还可以使用 配置 Azure Front Door TLS 策略 功能在 2026 年 4 月 1 日之前提前禁用 DHE 密码。 此选项不适用于其他层。
对于来自 Microsoft(经典)配置文件的所有 Front Door(标准版、高级版、经典版)和 Azure CDN,Microsoft 团队将在 2026 年 4 月 1 日之后禁用 DHE 密码。