Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
A partire dal 28 luglio 2025, le modifiche apportate ai certificati gestiti del servizio app influiranno sul modo in cui i certificati vengono rilasciati e rinnovati in determinati scenari. Anche se la maggior parte dei clienti non deve intervenire, è consigliabile consultare il post di blog dettagliato di ASMC per altre informazioni.
Transport Layer Security (TLS) è un protocollo di sicurezza ampiamente adottato progettato per proteggere le connessioni e le comunicazioni tra server e client. Nel servizio app di Azure è possibile usare certificati TLS e SSL (Secure Sockets Layer) per proteggere le richieste in ingresso nelle app Web.
Il servizio app supporta TLS per garantire quanto segue:
- Crittografia dei dati in transito.
- Autenticazione delle app Web tramite certificati attendibili.
- Prevenzione antimanomissione dei dati durante la trasmissione.
Suggerimento
È anche possibile porre queste domande a Azure Copilot :
- Quali versioni di TLS sono supportate nel servizio app?
- Quali sono i vantaggi dell'uso di TLS 1.3 anziché delle versioni precedenti?
- Come è possibile modificare l'ordine della suite di crittografia per l'ambiente del servizio app?
Nell'intestazione della pagina nel portale di Azure selezionare Copilot.
Supporto della versione di TLS
Il servizio app supporta le versioni TLS seguenti per le richieste in ingresso all'app Web:
- TLS 1.3. La versione più recente e sicura, ora completamente supportata.
- TLS 1.2. Versione minima di TLS predefinita per le nuove app Web.
- TLS 1.1 e TLS 1.0. Versioni supportate per la compatibilità con le versioni precedenti, ma non consigliate.
È possibile configurare la versione minima di TLS per le richieste in ingresso all'app Web e al relativo sito di Gestione controllo del codice sorgente.You can configure the minimum TLS version for incoming requests to your web app and its Source Control Manager (SCM). Per impostazione predefinita, il valore minimo è impostato su TLS 1.2.
Criteri di Azure consente di controllare le risorse e la versione minima di TLS. Passare a Le app del servizio app devono usare la definizione dei criteri di versione TLS più recente e modificare i valori con la versione minima di TLS che si vuole usare per le app Web. Per informazioni sulle definizioni di criteri correlate per altre risorse del servizio app, vedere Elenco di definizioni di criteri predefiniti - Criteri di Azure per il servizio app.
TLS 1.3
TLS 1.3 è completamente supportato nel servizio app e introduce diversi miglioramenti rispetto a TLS 1.2:
- Maggiore sicurezza, con suite di crittografia semplificate e segretezza avanzata.
- Strette di mano più veloci per ridurre la latenza.
- Messaggi di handshake crittografati per una maggiore privacy.
Per richiedere TLS 1.3 per tutte le richieste in ingresso, impostare Versione minima di TLS in ingresso su TLS 1.3 nel portale di Azure, nell'interfaccia della riga di comando di Azure o nel modello di Azure Resource Manager (modello arm).
TLS 1.3 supporta le suite di crittografia seguenti, che sono fisse e non possono essere personalizzate:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Queste suite forniscono una crittografia avanzata e vengono usate automaticamente quando viene negoziato TLS 1.3.
TLS 1.2
TLS 1.2 è la versione TLS predefinita per il servizio app. Offre crittografia avanzata e compatibilità ampia e soddisfa gli standard di conformità, ad esempio Payment Card Industry Data Security Standard (PCI DSS). Per impostazione predefinita, le nuove app Web e gli endpoint SCM usano TLS 1.2, a meno che non vengano modificate.
Il servizio app usa un set sicuro di pacchetti di crittografia TLS 1.2 per garantire connessioni crittografate e per proteggersi da vulnerabilità note. Sebbene sia possibile abilitare TLS 1.1 e TLS 1.0 per la compatibilità con le versioni precedenti, è consigliabile usare TLS 1.2 o versione successiva.
TLS 1.1 e TLS 1.0
TLS 1.1 e TLS 1.0 sono protocolli legacy e non sono più considerati sicuri. Queste versioni sono supportate nel servizio app solo per la compatibilità con le versioni precedenti e devono essere evitate quando possibile. La versione minima predefinita di TLS per le nuove app è TLS 1.2 ed è consigliabile eseguire la migrazione delle app che usano TLS 1.1 o TLS 1.0.
Importante
Le richieste in ingresso alle app Web e alle richieste in ingresso ad Azure vengono gestite in modo diverso. Il servizio app continua a supportare TLS 1.1 e TLS 1.0 per le richieste in ingresso alle app Web.
Per le richieste in ingresso effettuate direttamente al piano di controllo di Azure, ad esempio tramite Azure Resource Manager o chiamate API, non è consigliabile usare TLS 1.1 o TLS 1.0.
Suite di crittografia TLS minima
Nota
L'impostazione Pacchetto di crittografia TLS minimo è supportata negli SKU Basic o superiori nel servizio app multi-tenant.
La suite di crittografia TLS minima include un elenco fisso di suite di crittografia con un ordine di priorità ottimale che non è possibile modificare. Non è consigliabile riordinare o riordinare le suite di crittografia perché ciò potrebbe abilitare la crittografia più debole nelle app Web. Non è inoltre possibile aggiungere pacchetti di crittografia nuovi o diversi a questo elenco. Quando si seleziona una suite di crittografia minima, il sistema blocca automaticamente tutte le suite di crittografia meno sicure per l'app Web. Non è possibile bloccare selettivamente solo alcune suite di crittografia più deboli.
Che cosa sono i pacchetti di crittografia e come funzionano nel servizio app?
Una suite di crittografia è un set di istruzioni che contiene algoritmi e protocolli per proteggere le connessioni di rete tra client e server. Per impostazione predefinita, il sistema operativo front-end sceglie la suite di crittografia più sicura supportata sia dal servizio app che dal client. Tuttavia, se il client supporta solo suite di crittografia deboli, il sistema operativo front-end sceglie una suite di crittografia debole. Se l'organizzazione limita le suite di crittografia consentite, è possibile aggiornare la proprietà minima della suite di crittografia TLS dell'app Web per assicurarsi che le suite di crittografia vulnerabili siano bloccate per l'app Web.
Ambiente del servizio applicativo con configurazione del cluster FrontEndSSLCipherSuiteOrder
Per gli ambienti del servizio app con l'impostazione FrontEndSSLCipherSuiteOrder del cluster configurata, aggiornare le impostazioni in modo da includere le due suite di crittografia TLS 1.3:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Dopo aver aggiornato l'impostazione del cluster, è necessario riavviare il front-end per rendere effettive le modifiche. Inoltre, è comunque necessario includere le due suite di crittografia necessarie descritte in precedenza, anche quando si aggiornano le impostazioni per supportare TLS 1.3. Se si usa già FrontEndSSLCipherSuiteOrder, non è consigliabile abilitare anche Minimum TLS Cipher Suite per l'app Web. Il risultato potrebbe essere configurazioni conflittuali. Configurare solo una di queste opzioni per gestire le preferenze della suite di crittografia.
Crittografia TLS end-to-end
La crittografia TLS end-to-end (E2E) garantisce che la comunicazione front-end-to-worker all'interno del servizio app sia crittografata tramite TLS. Senza questa funzionalità, anche se le richieste HTTPS in ingresso vengono crittografate nei front-end, il traffico dai front-end ai ruoli di lavoro che eseguono i carichi di lavoro dell'applicazione viaggiano non crittografati all'interno dell'infrastruttura di Azure.
TLS E2E garantisce la crittografia completa del traffico tra:
- Client e front-end del servizio app.
- Front-end del servizio app e processi di lavoro che ospitano l'applicazione.
Questa funzionalità è disponibile in:
- Piani di servizio app Premium (consigliati per le nuove distribuzioni).
- Piani di servizio app standard legacy (distribuzioni esistenti).
Importante
I piani Premium sono consigliati per le nuove distribuzioni che richiedono la crittografia E2E e altre funzionalità di sicurezza avanzate.
Abilitare la crittografia TLS end-to-end
È possibile abilitare la crittografia TLS E2E tramite:
- Impostazioni del portale di Azure.
- Comandi dell'interfaccia della riga di comando di Azure
- Modelli di ARM per l'automazione.
Dopo aver abilitato la crittografia TLS E2E, tutte le comunicazioni all'interno del cluster per l'app Web vengono crittografate tramite TLS, che garantisce la protezione dei dati end-to-end.
Certificati TLS/SSL nel servizio app
Per gestire il traffico HTTPS, il servizio app richiede un certificato TLS/SSL associato al dominio personalizzato. Il servizio app offre più opzioni di certificato, che vanno dai certificati gratuiti completamente gestiti ai certificati gestiti dal cliente.
Tipi di certificati
Certificati gestiti del servizio app (gratuito)
- Fornito gratuitamente.
- Completamente gestito dal servizio app, incluso il rinnovo automatico.
- Non è possibile accedere, esportare o usare questi certificati all'esterno del servizio app.
- Nessun supporto per caratteri jolly o autorità di certificazione radice personalizzate.
Certificati del servizio app (ASC)
- Certificati a pagamento rilasciati da GoDaddy.
- Si è proprietari e si gestisce il certificato.
- Archiviato nell'insieme di credenziali delle chiavi. Può essere esportato e usato all'esterno del servizio app.
Porta il tuo certificato (BYOC)
- Caricare e gestire i propri certificati TLS/SSL (formato PFX).
- Completamente gestito dal cliente.
Ognuna di queste opzioni offre flessibilità per soddisfare le esigenze di sicurezza e gestione.
Associare certificati a domini personalizzati
Dopo aver caricato o creato un certificato, associarlo a un dominio personalizzato nell'app Web usando:
- Associazioni SSL SNI (Server Name Indication) per l'hosting multi-tenant.
- Binding IP SSL per indirizzi IP dedicati.
Nota
I domini gestiti da Azure ( ad esempio *.azurewebsites.net) vengono protetti automaticamente con i certificati predefiniti, quindi non è necessaria alcuna configurazione aggiuntiva.
Autenticazione reciproca TLS (mTLS)
Il servizio app supporta il protocollo TLS reciproco (mTLS) sia sui piani Windows App Service Linux che Windows, pertanto le app possono richiedere certificati client per una maggiore sicurezza.
Funzionamento di mTLS
- I client presentano certificati convalidati in base a una catena CA attendibile configurata dall'utente.
- Solo i client con certificati validi possono connettersi.
- Viene comunemente usato per proteggere LE API e le app interne.
Opzioni di configurazione
- Abilitare mTLS usando il portale di Azure, l'interfaccia della riga di comando di Azure o i modelli ARM.
- Caricare certificati CA attendibili per la verifica del client.
- Accedere alle informazioni sul certificato client nel codice dell'app tramite intestazioni di richiesta.
Gestione automatica dei certificati
Il servizio app offre funzionalità predefinite per la gestione automatica dei certificati:
Certificati gestiti di App Service (gratuiti). Rilasciato e rinnovato automaticamente per i domini personalizzati. Questi certificati sono limitati alla convalida di base del dominio e non supportano certificati wildcard o esportabili.
Certificati del servizio app (a pagamento). Certificati gestiti completamente, che supportano scenari avanzati, inclusi i domini con wildcard e i certificati esportabili. Questi certificati vengono archiviati e gestiti in Azure Key Vault.
Il servizio app semplifica la protezione delle app Web tramite TLS e SSL. Con il supporto per le versioni tls moderne, le opzioni di certificato flessibili e le funzionalità avanzate come TLS reciproco, il servizio app consente di proteggere i dati in transito e soddisfare i requisiti di conformità.