Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Transport Layer Security (TLS), noto in precedenza come SSL (Secure Sockets Layer), è la tecnologia di sicurezza standard per stabilire un collegamento crittografato tra un server Web e un client, come un Web browser. Questo collegamento garantisce che tutti i dati passati tra il server e il client rimangano privati e crittografati.
Per soddisfare i requisiti di sicurezza o conformità, Frontdoor di Azure supporta la crittografia TLS end-to-end. L'offload TLS/SSL di Frontdoor termina la connessione TLS, decrittografa il traffico in Frontdoor di Azure e crittografa nuovamente il traffico prima di inoltrarlo all'origine. Quando le connessioni all'origine usano l'indirizzo IP pubblico dell'origine, è consigliabile configurare HTTPS come protocollo di inoltro in Frontdoor di Azure. Usando HTTPS come protocollo di inoltro, è possibile applicare la crittografia TLS end-to-end per l'intera elaborazione della richiesta dal client all'origine. L'offload TLS/SSL è supportato anche se si distribuisce un'origine privata con Frontdoor di Azure Premium usando la funzionalità collegamento privato.
Questo articolo illustra il funzionamento di Frontdoor di Azure con le connessioni TLS. Per altre informazioni su come usare i certificati TLS con domini personalizzati, vedere HTTPS per domini personalizzati. Per informazioni su come configurare un certificato TLS nel proprio dominio personalizzato, vedere Configurare un dominio personalizzato in Frontdoor di Azure usando il portale di Azure.
Criptazione end-to-end con TLS
TLS end-to-end consente di proteggere i dati sensibili durante il transito all'origine, sfruttando al tempo stesso le funzionalità di Frontdoor di Azure, come il bilanciamento del carico globale e la memorizzazione nella cache. Alcune delle funzionalità includono anche il routing basato su URL, la suddivisione TCP, la memorizzazione nella cache nella posizione perimetrale più vicina ai client e la personalizzazione delle richieste HTTP nella rete perimetrale.
Azure Front Door esegue l'offload delle sessioni TLS ai margini e decrittografa le richieste client. Applica quindi le regole di routing configurate per instradare le richieste all'origine appropriata nel gruppo di origine. Frontdoor di Azure avvia quindi una nuova connessione TLS all'origine e crittografa nuovamente tutti i dati usando il certificato dell'origine prima di trasmettere la richiesta all'origine. Qualsiasi risposta dall'origine viene crittografata attraverso lo stesso processo di ritorno all'utente finale. È possibile configurare Frontdoor di Azure per l'uso di HTTPS come protocollo di inoltro per abilitare TLS end-to-end.
Versioni di TLS supportate
Frontdoor di Azure supporta due versioni del protocollo TLS: TLS versioni 1.2 e 1.3. Tutti i profili frontdoor di Azure creati dopo settembre 2019 usano TLS 1.2 come minimo predefinito con TLS 1.3 abilitato. Attualmente Frontdoor di Azure non supporta l'autenticazione client/reciproca (mTLS).
Importante
A partire dal 1° marzo 2025, TLS 1.0 e 1.1 non sono consentiti nei nuovi profili frontdoor di Azure.
Per Frontdoor di Azure Standard e Premium, è possibile configurare i criteri TLS predefiniti o scegliere la suite di crittografia TLS in base alle esigenze di sicurezza dell'organizzazione. Per altre informazioni, vedere Criteri TLS di Frontdoor di Azure e configurare i criteri TLS in un dominio personalizzato Front oor.
Per frontdoor di Azure classico e la rete CDN Microsoft classica, è possibile configurare la versione minima di TLS in Frontdoor di Azure nelle impostazioni HTTPS del dominio personalizzato usando il portale di Azure o l'API REST di Azure. Per una versione minima di TLS 1.2, la negoziazione tenterà di stabilire TLS 1.3 e quindi TLS 1.2. Quando Frontdoor di Azure avvia il traffico TLS verso l'origine, tenterà di negoziare la versione TLS migliore che l'origine può accettare in modo affidabile e coerente. Le versioni TLS supportate per le connessioni di origine sono TLS 1.2 e TLS 1.3. Se si desidera personalizzare la suite di cifratura in base alle esigenze, eseguire la migrazione di Front Door classico e CDN classico di Microsoft a Azure Front Door Standard e Premium.
Nota
- I client con TLS 1.3 abilitato sono necessari per supportare una delle curve EC conformi a Microsoft SDL, tra cui Secp384r1, Secp256r1 e Secp521, per effettuare correttamente richieste con Frontdoor di Azure con TLS 1.3.
- È consigliabile che i client usino una di queste curve come curva preferita durante le richieste per evitare un aumento della latenza di handshake TLS, che potrebbe comportare più round trip per negoziare la curva EC supportata.
Certificati supportati
Quando si crea il certificato TLS/SSL, è necessario creare una catena di certificati completa con un'autorità di certificazione (CA) consentita che fa parte dell'elenco ca attendibile Microsoft. Se si usa una CA non consentita, la richiesta verrà rifiutata.
I certificati provenienti da autorità di certificazione interne o certificati autofirmati non sono consentiti.
Associazione Protocollo di stato del certificato online (OCSP)
L'associazione OCSP è supportata per impostazione predefinita in Frontdoor di Azure e non è necessaria alcuna configurazione.
Connessione TLS di origine (Azure Front Door all'origine)
Per le connessioni HTTPS, Azure Front Door prevede che l'origine presenti un certificato da un'autorità di certificazione (CA) valida con un nome del soggetto corrispondente all'hostname di origine. Ad esempio, se il nome host di origine è impostato su myapp-centralus.contoso.net e il certificato presentato dall'origine durante l'handshake TLS non ha myapp-centralus.contoso.net o *.contoso.net nel nome soggetto, Frontdoor di Azure rifiuta la connessione e il client rileva un errore.
Nota
Il certificato deve avere una catena di certificati completa con certificati foglia e intermedi. La radice CA deve essere parte del Microsoft Trusted CA List. Se viene presentato un certificato senza catena completa, le richieste che riguardano quel certificato non sono garantite di funzionare come previsto.
In alcuni casi d'uso, ad esempio durante il test, è possibile disabilitare i controlli sul nome del soggetto del certificato per il servizio Front Door di Azure, come soluzione alternativa per risolvere i problemi di connessione HTTPS fallite. L'origine deve comunque presentare un certificato con una catena attendibile valida, ma non deve corrispondere al nome host di origine.
In Azure Front Door Standard e Premium, è possibile configurare un'origine per disabilitare il controllo del nome del soggetto del certificato.
In Frontdoor di Azure (versione classica) è possibile disabilitare il controllo del nome soggetto del certificato modificando le impostazioni di Frontdoor di Azure nella portale di Azure. È anche possibile configurare il controllo usando le impostazioni del pool back-end nelle API frontdoor di Azure.
Nota
Dal punto di vista della sicurezza, Microsoft non consiglia di disabilitare il controllo del nome soggetto del certificato.
Connessione TLS front-end (da client a Frontdoor di Azure)
Per abilitare il protocollo HTTPS per la distribuzione sicura dei contenuti in un dominio personalizzato di Frontdoor di Azure, è possibile scegliere di usare un certificato gestito da Frontdoor di Azure o usare il proprio certificato.
Per altre informazioni, vedere HTTPS per domini personalizzati.
Il certificato gestito di Frontdoor di Azure fornisce un certificato TLS/SSL standard tramite DigiCert e viene archiviato nell'insieme di credenziali delle chiavi di Frontdoor di Azure.
Se si sceglie di usare un certificato personalizzato, è possibile importare un certificato da una CA supportata che può essere un certificato TLS standard, un certificato di convalida estesa o anche un certificato wildcard. I certificati autofirmati non sono supportati. Informazioni su come abilitare HTTPS per un dominio personalizzato.
Autorotazione del certificato
Per l'opzione del certificato gestito di Azure Front Door, i certificati vengono gestiti e vengono ruotati automaticamente entro 90 giorni dalla loro scadenza tramite Azure Front Door. Per l'opzione del certificato gestito Standard/Premium di Azure Front Door, i certificati vengono gestiti e ruotano automaticamente entro 45 giorni dalla scadenza da Azure Front Door. Se si usa un certificato gestito di Frontdoor di Azure e si noterà che la data di scadenza del certificato è inferiore a 60 giorni o 30 giorni per lo SKU Standard/Premium, inviare un ticket di supporto.
Per il proprio certificato TLS/SSL personalizzato:
Impostare la versione segreta su "Latest" affinché il certificato venga ruotato automaticamente alla versione più recente quando è disponibile una versione più recente del certificato nel vostro key vault. Per i certificati personalizzati, il certificato viene ruotato automaticamente entro 3-4 giorni con una versione più recente del certificato, indipendentemente dall'ora di scadenza del certificato.
Se è selezionata una versione specifica, l'autorotazione non è supportata. Sarà necessario selezionare nuovamente la nuova versione manualmente per ruotare il certificato. La distribuzione della nuova versione del certificato/segreto richiede fino a 24 ore.
Nota
I certificati gestiti di Azure Front Door (Standard e Premium) vengono ruotati automaticamente se il record CNAME del dominio punta direttamente a un endpoint Azure Front Door o punta indirettamente a un endpoint Traffic Manager. In caso contrario, è necessario convalidare nuovamente la proprietà del dominio per ruotare i certificati.
L'entità servizio per Frontdoor deve avere accesso a Key Vault. L'operazione di implementazione del certificato aggiornata da Azure Front Door non causerà interruzioni nella produzione, a condizione che il nome del soggetto o il nome alternativo del soggetto (SAN) per il certificato non sia stato modificato.
Pacchetti di crittografia supportati
Per TLS 1.2/1.3, sono supportati i pacchetti di crittografia seguenti:
- TLS_AES_256_GCM_SHA384 (solo TLS 1.3)
- TLS_AES_128_GCM_SHA256 (solo TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Nota
Le versioni precedenti di TLS e le crittografie deboli non sono più supportate.
Usare i criteri TLS per configurare pacchetti di crittografia specifici. Frontdoor di Azure Standard e Premium offrono due meccanismi per il controllo dei criteri TLS: è possibile usare un criterio predefinito o un criterio personalizzato in base alle proprie esigenze. Per altre informazioni, vedere Configurare i criteri TLS in un dominio personalizzato di Frontdoor.
Nota
Per Windows 10 e versioni successive, ti consigliamo di abilitare una o entrambe le suite di crittografia ECDHE_GCM per una maggiore sicurezza. Windows 8.1, 8 e 7 non sono compatibili con queste suite di crittografia ECDHE_GCM. I pacchetti di crittografia ECDHE_CBC e DHE sono stati forniti per garantire la compatibilità con tali sistemi operativi.