共用方式為


Azure App Service TLS 概觀

注意

客戶可能會知道 TLS 1.0 和 1.1 的淘汰通知,以便與 Azure 服務互動。 此淘汰不會影響在 App Service 或 Azure Functions 上執行的應用程式。 針對傳入要求,App Service 或 Azure Functions 上設定為接受 TLS 1.0 或 TLS 1.1 的應用程式將繼續執行不受影響。

TLS 在 App Service 中的作用?

傳輸層安全性 (TLS) 是廣泛採用的安全性通訊協定,其設計目的是保護伺服器與用戶端之間的連線和通訊。 App Service 可讓客戶使用 TLS/SSL 憑證來保護 Web 應用程式的傳入要求。 App Service 目前支援一組不同的 TLS 功能,讓客戶保護其 Web 應用程式。

提示

您可以詢問 Azure Copilot 下列問題:

  • App Service 支援哪些 TLS 版本?
  • 使用 TLS 1.3 比舊版有哪些優點?
  • 如何變更 App Service 環境的加密套件順序?

若要尋找 Azure Copilot,請在 Azure 入口網站工具列上,選取 [Copilot]

App Service 上支援的 TLS 版本?

針對 Web 應用程式的傳入要求,App Service 支援 TLS 1.0、1.1、1.2 和 1.3 版。

設定最低 TLS 版本

請遵循下列步驟來變更 App Service 資源的最低 TLS 版本:

  1. 瀏覽至 Azure 入口網站中的應用程式
  2. 在左側功能表中,選取 [設定],然後選取 [一般設定] 索引標籤。
  3. [最低輸入 TLS 版本] 上,使用下拉式清單選取所需的版本。
  4. 選取儲存以儲存變更。

含 Azure 原則 的最低 TLS 版本

您可以使用 Azure 原則 來協助稽核資源,以達到最低 TLS 版本。 您可以參考 App Service 應用程式應該使用最新的 TLS 版本原則定義 ,並將值變更為所需的最低 TLS 版本。 如需其他 App Service 資源的類似原則定義,請參閱內建原則定義清單 - 適用於 App Service 的 Azure 原則。

最低 TLS 版本和 SCM 最低 TLS 版本

App Service 也可讓您為 Web 應用程式和 SCM 網站的傳入要求設定最低 TLS 版本。 根據預設,入口網站和 API 上連入要求的最低 TLS 版本會設定為 1.2。

TLS 1.3

最低 TLS 加密套件設定可供 TLS 1.3 使用。 這包括加密套件順序頂端的兩個加密套件:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

TLS 1.0 和 1.1

TLS 1.0 和 1.1 會被視為舊版通訊協定,不再視為安全的通訊方式。 通常建議客戶使用 TLS 1.2 或更新版本作為最低 TLS 版本。 建立 Web 應用程式時,預設的最低 TLS 版本是 TLS 1.2。

為了確保 TLS 1.0 和 TLS 1.1 的回溯相容性,App Service 會繼續支援 Web 應用程式傳入要求使用 TLS 1.0 和 1.1。 不過,由於預設的最低 TLS 版本設定為 TLS 1.2,您必須將 Web 應用程式上的最低 TLS 版本設定更新為 TLS 1.0 或 1.1,這樣要求才不會遭到拒絕。

重要

Web 應用程式的傳入要求和 Azure 的傳入要求會以不同的方式處理。 App Service 將繼續支援 Web 應用程式的傳入要求使用 TLS 1.0 和 1.1。 對於直接連入至 Azure 控制平面的要求,例如透過 ARM 或 API 呼叫,不建議使用 TLS 1.0 或 1.1。

最低 TLS 加密套件

注意

基本 SKU 支援最低 TLS 加密套件,並在多租使用者 App Service 上支援較高版本。

最低 TLS 加密套件包含固定的加密套件清單,具有您無法變更的最佳優先順序。 不建議重新排序或重新排列加密套件的優先順序,因為它可能會將您的網路應用程式暴露給較弱的加密。 您也無法將新的或不同的加密套件新增至此清單。 當您選取最低加密套件時,系統會自動停用網路 應用程式的所有較不安全的加密套件,而不允許您只選擇性地停用一些較弱的加密套件。

什麼是加密套件,以及它如何在 App Service 上運作?

加密套件是一組指令,其中包含演算法和通訊協定,以協助保護用戶端與伺服器之間的網路連線。 根據預設,前端的作業系統會挑選 App Service 和用戶端所支援最安全的加密套件。 不過,如果用戶端只支援弱式加密套件,則前端的作業系統最終會挑選兩者都支援的弱式加密套件。 如果貴組織會限制不允許的加密套件,則您可能需更新您的網路應用程式的最低 TLS 加密套件屬性,以確保您的網路應用程式會停用較弱的加密套件。

具有叢集設定 FrontEndSSLCipherSuiteOrder 的 App Service 環境 (ASE) V3

針對具有 FrontEndSSLCipherSuiteOrder 叢集設定的 App Service 環境,您必須更新您的設定,以包含兩個 TLS 1.3 加密套件 (TLS_AES_256_GCM_SHA384 和 TLS_AES_128_GCM_SHA256)。 更新之後,請重新啟動前端,變更才會生效。 您仍必須包含文件中所述的兩個必要加密套件。

端對端 TLS 加密

標準 App Service 方案和更高版本提供端對端 (E2E) TLS 加密。 App Service 前端與執行應用程式工作負載的背景工作角色之間的前端叢集內流量現在可進行加密。

下一步