Dela via

Översikt över Azure App Service TLS

  • Artikel

Kommentar

Tillbakadragandet av TLS 1.1 och 1.0 i Azure-tjänster påverkar inte program som körs på App Service eller Azure Functions. Program på antingen App Service eller Azure Functions som har konfigurerats för att acceptera TLS 1.0 eller TLS 1.1 för inkommande begäranden fortsätter att köras opåverkade.

Transport Layer Security (TLS) är ett allmänt antaget säkerhetsprotokoll som utformats för att skydda anslutningar och kommunikation mellan servrar och klienter. Med App Service kan kunder använda TLS/SSL-certifikat för att skydda inkommande begäranden till sina webbappar. App Service har för närvarande stöd för olika TLS-funktioner som kunder kan använda för att skydda sina webbappar.

Dricks

Du kan också ställa följande frågor till Azure Copilot:

  • Vilka versioner av TLS stöds i App Service?
  • Vilka är fördelarna med att använda TLS 1.3 jämfört med tidigare versioner?
  • Hur ändrar jag chiffersvitordningen för mina App Service-miljön?

Om du vill hitta Azure Copilot väljer du Copilot i verktygsfältet Azure Portal.

TLS-version som stöds i App Service?

För inkommande begäranden till webbappen stöder App Service TLS-versionerna 1.0, 1.1, 1.2 och 1.3.

Ange lägsta TLS-version

Följ de här stegen för att ändra den lägsta TLS-versionen av din App Service-resurs:

  1. Bläddra till din app i Azure Portal
  2. I den vänstra menyn väljer du konfiguration och väljer sedan fliken Allmänna inställningar .
  3. Lägsta inkommande TLS-version väljer du önskad version med hjälp av listrutan.
  4. Välj Spara för att spara ändringarna.

Lägsta TLS-version med Azure Policy

Du kan använda Azure Policy för att granska dina resurser när det gäller lägsta TLS-version. Du kan referera till App Service-appar bör använda den senaste TLS-versionsprincipdefinitionen och ändra värdena till önskad lägsta TLS-version. Liknande principdefinitioner för andra App Service-resurser finns i Lista över inbyggda principdefinitioner – Azure Policy för App Service.

Lägsta TLS-version och lägsta TLS-version för SCM

Med App Service kan du också ange lägsta TLS-version för inkommande begäranden till din webbapp och till SCM-webbplatsen. Som standard är den lägsta TLS-versionen för inkommande begäranden till webbappen och till SCM inställd på 1.2 på både portalen och API:et.

TLS 1.3

TLS 1.3 är den senaste och säkraste TLS-versionen som stöds i Azure App Service. Den introducerar betydande säkerhets- och prestandaförbättringar jämfört med TLS 1.2 genom att förenkla kryptografiska algoritmer, minska svarstiden för handskakning och förbättra krypteringen.

Viktiga fördelar är:

  • Starkare säkerhet: Tar bort inaktuella chiffersviter, framtvingar PFS (Perfect Forward Secrecy) och krypterar mer av handskakningsprocessen.
  • Snabbare handskakning: Minskar tur och retur, vilket förbättrar anslutningsfördröjningen, särskilt för upprepade sessioner (0-RTT-stöd).
  • Bättre prestanda: Använder effektiva krypteringsalgoritmer som sänker beräkningskostnaderna och förbättrar effektiviteten.
  • Förbättrad sekretess: Krypterar handskakningsmeddelanden, minskar metadataexponeringen och minskar nedgraderingsattacker.

Chiffersviter

Inställningen Minsta TLS-chiffersvit är tillgänglig med TLS 1.3. Detta inkluderar två chiffersviter högst upp i chiffersvitordningen:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

Eftersom TLS 1.3 tar bort äldre kryptografiska algoritmer rekommenderas det för program som kräver moderna säkerhetsstandarder, bättre prestanda och kortare svarstid.

TLS 1.2

TLS 1.2 är standardversionen av TLS för Azure App Service. Det ger stark kryptering, förbättrad säkerhet för äldre versioner och efterlevnad av branschstandarder som PCI DSS. Eftersom TLS 1.2 är standard krävs ingen åtgärd om du inte migrerar från en äldre TLS-version. Om din app för närvarande använder TLS 1.0 eller 1.1 rekommenderar vi att du uppdaterar till TLS 1.2 för att upprätthålla säkerhet, prestanda och efterlevnad. Azure App Service stöder en fördefinierad uppsättning TLS 1.2-chiffersviter för att säkerställa säker kommunikation mellan klienter och din webbapp.

TLS 1.0 och 1.1

TLS 1.0 och 1.1 betraktas som äldre protokoll och anses inte längre vara säkra. Vi rekommenderar att kunder använder TLS 1.2 eller senare som lägsta TLS-version. När du skapar en webbapp är den lägsta TLS-standardversionen TLS 1.2.

För att säkerställa bakåtkompatibilitet för TLS 1.0 och TLS 1.1 fortsätter App Service att stödja TLS 1.0 och 1.1 för inkommande begäranden till webbappen. Men eftersom den lägsta TLS-standardversionen är inställd på TLS 1.2 måste du uppdatera de minsta TLS-versionskonfigurationerna i webbappen till TLS 1.0 eller 1.1 så att begärandena inte avvisas.

Viktigt!

Inkommande begäranden till webbappar och inkommande begäranden till Azure behandlas på olika sätt. App Service fortsätter att ha stöd för TLS 1.0 och 1.1 för inkommande begäranden till webbapparna. För inkommande begäranden direkt till Azure-kontrollplanet, till exempel via ARM- eller API-anrop, rekommenderar vi inte att du använder TLS 1.0 eller 1.1.

Minsta TLS-chiffersvit

Kommentar

Minsta TLS-chiffersvit stöds på grundläggande SKU:er och högre på apptjänsten för flera klienter.

Den minsta TLS-chiffersviten innehåller en fast lista över chiffersviter med en optimal prioritetsordning som du inte kan ändra. Att ordna om eller omprioritera chiffersviterna rekommenderas inte eftersom det kan utsätta dina webbappar för svagare kryptering. Du kan inte heller lägga till nya eller olika chiffersviter i den här listan. När du väljer en minsta chiffersvit inaktiverar systemet automatiskt alla mindre säkra chiffersviter för webbappen, utan att du selektivt kan inaktivera vissa svagare chiffersviter.

Vad är chiffersviter och hur fungerar de i App Service?

En chiffersvit är en uppsättning instruktioner som innehåller algoritmer och protokoll för att skydda nätverksanslutningar mellan klienter och servrar. Som standard skulle klientdelens operativsystem välja den säkraste chiffersviten som stöds av både App Service och klienten. Men om klienten bara stöder svaga chiffersviter skulle klientdelens operativsystem i slutändan välja en svag chiffersvit som stöds av dem båda. Om din organisation har begränsningar för vilka chiffersviter som inte ska tillåtas kan du uppdatera webbappens minsta TLS-chiffersvitegenskap för att säkerställa att de svaga chiffersviterna inaktiveras för webbappen.

App Service-miljön (ASE) V3 med klusterinställningFrontEndSSLCipherSuiteOrder

För App Service-miljön med FrontEndSSLCipherSuiteOrder klusterinställning måste du uppdatera inställningarna så att de innehåller två chiffersviter för TLS 1.3 (TLS_AES_256_GCM_SHA384 och TLS_AES_128_GCM_SHA256). När den har uppdaterats startar du om klientdelen för att ändringen ska börja gälla. Du måste fortfarande inkludera de två nödvändiga chiffersviterna som anges i dokumenten.

TLS-kryptering från slutpunkt till slutpunkt

TLS-kryptering från slutpunkt till slutpunkt (E2E) är tillgängligt i Premium App Service-planer (och äldre Standard App Service-planer). Klientdelens intraklustertrafik mellan App Service-klientdelar och de arbetare som kör programarbetsbelastningar kan nu krypteras.

Nästa steg