Azure App Service TLS 概觀
注意
Azure 服務 上的 TLS 1.1 和 1.0 淘汰不會影響在 App Service 或 Azure Functions 上執行的應用程式。 針對傳入要求 ,App Service 或 Azure Functions 上設定為接受 TLS 1.0 或 TLS 1.1 的應用程式將繼續執行不受影響。
傳輸層安全性 (TLS) 是廣泛採用的安全性通訊協定,其設計目的是保護伺服器與用戶端之間的連線和通訊。 App Service 可讓客戶使用 TLS/SSL 憑證來保護 Web 應用程式的傳入要求。 App Service 目前支援一組不同的 TLS 功能,讓客戶保護其 Web 應用程式。
提示
您可以詢問 Azure Copilot 下列問題:
- App Service 支援哪些 TLS 版本?
- 使用 TLS 1.3 比舊版有哪些優點?
- 如何變更 App Service 環境的加密套件順序?
若要尋找 Azure Copilot,請在 Azure 入口網站工具列上,選取 [Copilot]。
App Service 上支援的 TLS 版本?
針對 Web 應用程式的傳入要求,App Service 支援 TLS 1.0、1.1、1.2 和 1.3 版。
設定最低 TLS 版本
請遵循下列步驟來變更 App Service 資源的最低 TLS 版本:
- 瀏覽至 Azure 入口網站中的應用程式
- 在左側功能表中,選取 [設定],然後選取 [一般設定] 索引標籤。
- 在 [最低輸入 TLS 版本] 上,使用下拉式清單選取所需的版本。
- 選取儲存以儲存變更。
含 Azure 原則 的最低 TLS 版本
您可以使用 Azure 原則 來協助稽核資源,以達到最低 TLS 版本。 您可以參考 App Service 應用程式應該使用最新的 TLS 版本原則定義 ,並將值變更為所需的最低 TLS 版本。 如需其他 App Service 資源的類似原則定義,請參閱 App Service 的內建原則定義清單 - Azure 原則。
最低 TLS 版本和 SCM 最低 TLS 版本
App Service 也可讓您為 Web 應用程式和 SCM 網站的傳入要求設定最低 TLS 版本。 根據預設,入口網站和 API 上連入要求的最低 TLS 版本會設定為 1.2。
TLS 1.3
TLS 1.3 是 Azure App 服務 支援的最新且最安全的 TLS 版本。 它透過簡化密碼編譯演算法、減少交握延遲,以及增強加密,引進了 TLS 1.2 的重大安全性和效能改善。
主要優點包括:
- 增強安全性:移除過期的加密套件、強制執行完美轉寄密碼(PFS),並加密更多交握程式。
- 更快速的交握:減少來回行程,改善連線延遲,特別是針對重複會話(0-RTT 支援)。
- 更好的效能:使用簡化的加密演算法,降低計算額外負荷並提高效率。
- 增強的隱私權:加密交握訊息、減少元數據暴露和降低降級攻擊。
加密套件
最低 TLS 加密套件設定可供 TLS 1.3 使用。 這包括加密套件順序頂端的兩個加密套件:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
由於 TLS 1.3 會移除舊版密碼編譯演算法,因此建議使用需要新式安全性標準、改善效能及降低延遲的應用程式。
TLS 1.2
TLS 1.2 是 Azure App 服務的預設 TLS 版本。 其提供強式加密、較舊版本的安全性改善,以及符合PCI DSS等業界標準。 因為 TLS 1.2 是預設值,除非您從較舊的 TLS 版本移轉,否則不需要採取任何動作。 如果您的應用程式目前使用 TLS 1.0 或 1.1,建議更新至 TLS 1.2,以維護安全性、效能和合規性。 Azure App 服務 支援一組預先定義的 TLS 1.2 加密套件,以確保用戶端與 Web 應用程式之間的通訊安全。
TLS 1.0 和 1.1
TLS 1.0 和 1.1 會被視為舊版通訊協定,不再視為安全的通訊方式。 建議客戶使用 TLS 1.2 或更新版本作為最低 TLS 版本。 建立 Web 應用程式時,預設的最低 TLS 版本是 TLS 1.2。
為了確保 TLS 1.0 和 TLS 1.1 的回溯相容性,App Service 會繼續支援 Web 應用程式傳入要求使用 TLS 1.0 和 1.1。 不過,由於預設的最低 TLS 版本設定為 TLS 1.2,您必須將 Web 應用程式上的最低 TLS 版本設定更新為 TLS 1.0 或 1.1,這樣要求才不會遭到拒絕。
重要
Web 應用程式的傳入要求和 Azure 的傳入要求會以不同的方式處理。 App Service 將繼續支援 Web 應用程式的傳入要求使用 TLS 1.0 和 1.1。 對於直接傳入 Azure 控制平面的要求,例如透過 ARM 或 API 呼叫,不建議使用 TLS 1.0 或 1.1。
最低 TLS 加密套件
注意
基本 SKU 支援最低 TLS 加密套件,以及多租使用者 App Service 的更高版本。
最低 TLS 加密套件包含固定的加密套件清單,具有您無法變更的最佳優先順序。 不建議重新排序或重新排列加密套件,因為它可能會將您的 Web 應用程式公開至較弱的加密。 您也無法將新的或不同的加密套件新增至此清單。 當您選取最低加密套件時,系統會自動停用網路 應用程式的所有較不安全的加密套件,而不允許您只選擇性地停用一些較弱的加密套件。
什麼是加密套件,以及它如何在 App Service 上運作?
加密套件是一組指令,其中包含演算法和通訊協定,以協助保護用戶端與伺服器之間的網路連線。 根據預設,前端的作業系統會挑選 App Service 和用戶端所支援最安全的加密套件。 不過,如果用戶端只支援弱式加密套件,則前端的作業系統最終會挑選兩者都支援的弱式加密套件。 如果貴組織會限制不允許的加密套件,則您可能需更新您的網路應用程式的最低 TLS 加密套件屬性,以確保您的網路應用程式會停用較弱的加密套件。
具有叢集設定 FrontEndSSLCipherSuiteOrder 的 App Service 環境 (ASE) V3
針對具有 FrontEndSSLCipherSuiteOrder 叢集設定的 App Service 環境,您必須更新您的設定,以包含兩個 TLS 1.3 加密套件 (TLS_AES_256_GCM_SHA384 和 TLS_AES_128_GCM_SHA256)。 更新之後,請重新啟動前端,變更才會生效。 您仍必須包含文件中所述的兩個必要加密套件。
端對端 TLS 加密
進階 App Service 方案(和舊版標準 App Service 方案)提供端對端 (E2E) TLS 加密。 App Service 前端與執行應用程式工作負載的背景工作角色之間的前端叢集內流量現在可進行加密。