在 2025 年 8 月 31 日,Azure 應用程式閘道將不再支援 TLS (傳輸層安全性) 1.0 和 1.1 版。 這項變更與這些 TLS 版本的 全 Azure 淘汰 一致,以增強安全性。 作為應用程式閘道資源的擁有者,您應該同時檢閱可使用這些舊版的前端用戶端和後端伺服器 TLS 連線。
前端 TLS 連線
隨著 TLS 1.0 和 1.1 版的淘汰,將會移除來自自定義 TLS 原則的舊版預先定義 TLS 原則和特定加密套件。 視閘道的設定而定,您必須檢閱一般 TLS 原則 和 接聽程式特定 TLS 原則的原則關聯。
一般 TLS 原則 - 入口網站檢視
接聽程式特定的 TLS 原則 - 入口網站檢視
V2 SKU 的預先定義原則
支援 TLS v1.0 和 1.1 的預先定義原則20150501和20170401將會停止,且無法在 2025 年 8 月之後再與應用程式閘道資源建立關聯。 建議轉換至其中一個建議的 TLS 原則 (20220101 或 20220101S)。 或者,如果需要特定加密套件,可以使用 20170401S 原則。
V2 SKU 的自訂原則
Azure 應用程式閘道 V2 SKU 提供兩個類型的自訂原則:Custom 和 CustomV2。 這些 TLS 版本的淘汰只會影響「自定義」原則。 較新的「CustomV2」策略包含 TLS v1.3 和 v1.2。 在 2025 年 8 月之後,較舊的自定義原則僅支援 TLS v1.2,而且不支援下列加密套件。
| 不支援的加密套件 |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
V1 SKU 的預先定義政策
V1 SKU 只會在 TLS 版本 1.0 和 1.1 的舊原則停止之後,才支援 20170401S 原則。 較新的 20220101 或 20220101S 原則不適用於即將淘汰的 V1 SKU。
V1 SKU 的自訂原則
應用程式閘道 V1 SKU 僅支援較舊的「自定義」原則。 在 2025 年 8 月之後,此較舊的自定義原則僅支援 TLS v1.2,而且不支援下列加密套件。
| 不支援的加密套件 |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
後端 TLS 連線
您不需要為後端連線的 TLS 版本在應用程式閘道上設置任何選項,因為選擇 TLS 原則不影響後端 TLS 連線。 退休後,
- 針對 V2 SKU:後端伺服器的連線將以 TLS v1.3 為優先選擇,且至少支援 TLS v1.2。
- 針對 V1 SKU:後端伺服器的連線一律為 TLS v1.2
您必須確定後端集區中的伺服器與這些更新的通訊協定版本相容。 這種相容性可避免與這些後端伺服器建立 TLS/HTTPS 連線時發生任何中斷。
鑑別方法
Metrics
若要判斷連線到應用程式閘道資源的用戶端是否使用 TLS 1.0 或 1.1,請使用 Client TLS protocol 應用程式閘道所提供的計量。 如需詳細資訊,請參閱 指標文件。 您可以按照以下步驟從入口網站檢視它。
- 移至 Azure 入口網站中的應用程式閘道資源。
- 在左側功能表窗格中,開啟 [監視] 區段中的 [度量] 面板。
- 從下拉式清單中選擇指標。
Client TLS protocol - 若要檢視精細的通訊協定版本資訊,請選取「套用分割」,然後選擇「TLS 通訊協定」。
Logs
您也可以檢查 應用程式閘道存取記錄 ,以記錄格式檢視此資訊。
Note
V1 SKU 的計量和記錄不會提供用戶端 TLS 通訊協議資訊。
錯誤資訊
一旦停止支援 TLS 1.0 版和 1.1,用戶端可能會遇到錯誤,例如 curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure。 根據所使用的瀏覽器,可能會顯示指示 TLS 握手失敗的各種訊息。
常見問題
預設 TLS 原則的意義為何?
應用程式閘道的預設 TLS 原則是一套支援的 TLS 版本和加密套件。 這可讓客戶只設定 HTTPS 或 TLS 接聽程式和後端設定以開始使用安全的流量,而不需要額外設定 TLS 版本或加密。 應用程式閘道會使用其中一個預先定義的原則作為預設值。
在舊版 TLS 1.0 和 1.1 版淘汰之後,預設 TLS 原則將受到何種影響?
在 2025 年 9 月前,V2 SKU 會根據在資源部署期間指定的 API 版本,利用兩個預設 TLS 原則。 使用 API 版本2023-02-01 或更新版本的部署預設會套用 AppGwSslPolicy20220101,而舊版 API 版本則使用 AppGwSslPolicy20150501。
隨著 TLS 1.0 和 1.1 的淘汰,較舊的 AppGwSslPolicy20150501 原則將會中止。 因此,AppGwSslPolicy20220101 將成為所有 V2 閘道的預設原則。 在預設原則中實作此變更後,後續的 PUT 作業將會完成組態更新。
V1 SKU 的預設原則會維持不變,因為 AppGwSslPolicy20220101 不會針對此淘汰的 SKU 引進。
Note
只有在入口網站中選取 [預設] 選項,或 REST、PowerShell 或 AzCLI 等方式未在資源設定中指定任何 TLS 原則時,才會套用預設 TLS 原則。 因此,在設定中使用預設原則與明確選取
AppGwSslPolicy20150501原則不同,即使AppGwSslPolicy20150501是 API 版本的預設原則也一樣。這些變更將逐步套用於所有 Azure 區域。
正在淘汰應用程式閘道中的哪些 TLS 原則?
預先定義且支援 TLS 1.0 和 1.1 版的 AppGwSslPolicy20150501 和 AppGwSslPolicy20170401 原則,將會從 Azure Resource Manager 組態中移除。 同樣地,自訂原則將會停止支援 TLS 1.0 和 1.1 版及其相關聯的加密套件。 這同時套用至 V1 和 V2 SKU。
應用程式閘道產品小組是否會將組態自動更新為支援的 TLS 原則?
應用程式閘道不會修改任何具有客戶定義 TLS 組態的資源。 只有未明確設定 TLS 原則或缺少任何 TLS 相關設定 (例如 HTTPS 或 TLS 接聽程式) 的閘道的預設 TLS 原則會自動更新為使用 AppGwSslPolicy20220101。
我的閘道會進入失敗狀態嗎?
如果您在閘道設定中選擇任何已淘汰的 TLS 原則,且在 2025 年 8 月前未將它更新為支援的原則,則閘道會在執行組態更新時進入失敗狀態。
沒有作用的 TLS 設定 (例如未連結至任何接聽程式的 SSLProfile) 不會影響閘道的控制平面。
如何規劃此變更的發行?
鑑於我們機群的規模,在 2025 年 8 月 30 日之後,將針對控制平面和資料平面分別實作 TLS 版本的淘汰。 無法使用任何特定區域的詳細資料;因此,我們強烈建議您儘早採取一切必要的行動。
如果我尚未選取任何 TLS 原則,且閘道只使用 HTTP/TCP 組態,是否有任何潛在影響?
如果您的閘道未使用任何 TLS 組態,無論是透過 SSLPolicy、SSLProfile、HTTPS 或 TLS 接聽程式,在 2025 年 8 月之後都不會有任何影響。
後續步驟
瞭解 TLS 原則類型和設定 瀏覽 Azure 更新以 取得淘汰通知