Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
31 августа 2025 г. Шлюз приложений Azure больше не будет поддерживать TLS (transport Layer Security) версии 1.0 и 1.1. Это изменение соответствует прекращению использования этих версий TLS на уровне Azure для повышения безопасности. В качестве владельца ресурса шлюза приложений следует просмотреть как клиенты переднего интерфейса, так и подключения TLS серверных серверов, которые могут использовать эти старые версии.
TLS-подключения фронтенда
При отключении TLS версий 1.0 и 1.1 будут удалены старые стандартные политики TLS и некоторые наборы шифров из пользовательской политики TLS . В зависимости от конфигурации шлюза необходимо проверить ассоциацию политики как для общей политики TLS, так и для политики TLS, специфичной для прослушивателя.
Общая политика TLS — на портале
Политика TLS для конкретного прослушивателя — на портале отображается
Предварительно заданные политики для артикулов версии 2
Предопределенные политики 20150501 и 20170401, поддерживающие TLS версии 1.0 и 1.1, будут прекращены и больше не могут быть связаны с ресурсом шлюза приложений после августа 2025 года. Рекомендуется перейти к одной из рекомендуемых политик TLS, 20220101 или 20220101S. Кроме того, политику 20170401S можно использовать, если требуются определенные наборы шифров.
Кастомные политики для SKU версии 2
SKU шлюза приложений Azure версии 2 предлагает два типа настраиваемых политик: Custom и CustomV2. Прекращение использования этих версий TLS влияет только на политику "Custom". Новая политика CustomV2 включает в себя TLS версии 1.3 и 1.2. После августа 2025 г. старая пользовательская политика будет поддерживать только TLS версии 1.2, а следующие наборы шифров не будут поддерживаться.
| Неподдерживаемые наборы шифров |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Заранее определенные политики для V1 SKU
SKU версии 1 будет поддерживать только политику 20170401S после прекращения поддержки старых политик с версиями TLS 1.0 и 1.1. Новые политики 20220101 или 20220101S не будут доступны для скоро выводимого из эксплуатации SKU версии V1 -to-be.
Пользовательские политики для SKU версии 1
SKU шлюза приложений версии 1 поддерживает только старую политику "Custom". После августа 2025 г. эта старая настраиваемая политика будет поддерживать только TLS версии 1.2, и следующие наборы шифров не будут поддерживаться.
| Неподдерживаемые наборы шифров |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Внутренние подключения TLS
Вам не нужно настраивать ничего в шлюзе приложений для версии TLS серверного подключения, так как выбор политики TLS не имеет контроля над внутренними подключениями TLS. После выхода на пенсию,
- Для SKU версии 2 подключения к серверам всегда будут использовать предпочтительный протокол TLS версии 1.3 и по меньшей мере до TLS версии 1.2.
- Для SKU версии 1: подключения к серверным системам всегда будут осуществляться с использованием TLS версии 1.2.
Необходимо убедиться, что серверы в серверных пулах совместимы с этими обновленными версиями протокола. Эта совместимость позволяет избежать сбоев при установке соединения TLS/HTTPS с этими внутренними серверами.
Методы идентификации
Metrics
Чтобы определить, используют ли клиенты, подключающиеся к ресурсу шлюза приложений, протокол TLS 1.0 или 1.1, используйте метрику, предоставляемую Client TLS protocol шлюзом приложений. Дополнительные сведения см. в документации по метрикам. Его можно просмотреть на портале, выполнив следующие действия.
- Перейдите к ресурсу Шлюза приложений на портале Azure.
- В области меню слева откройте колонку "Метрики" в разделе "Мониторинг".
- Выберите метрику как
Client TLS protocolиз раскрывающегося списка. - Чтобы просмотреть подробные сведения о версии протокола, выберите "Применить разделение" и выберите "ПРОТОКОЛ TLS".
Logs
Вы также можете проверить журналы доступа к шлюзу приложений , чтобы просмотреть эти сведения в формате журнала.
Note
Метрики и журналы для номеров SKU версии 1 не предоставляют сведения о протоколе TLS клиента.
Сведения об ошибке
После прекращения поддержки TLS версии 1.0 и 1.1 клиенты могут столкнуться с ошибками, например curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. В зависимости от используемого браузера могут отображаться различные сообщения, указывающие на сбои подтверждения TLS.
FAQs
Что означает политика TLS по умолчанию?
Политика TLS по умолчанию для Шлюза приложений — это пакетный набор поддерживаемых версий TLS и наборов шифров. Это позволяет клиентам начать использовать защищенный трафик, настроив только прослушиватели HTTPS или TLS и внутренние параметры без дополнительной настройки для версии ИЛИ шифров TLS. Шлюз приложений использует одну из стандартных политик по умолчанию.
Как политики TLS по умолчанию будут затронуты после выхода устаревших версий TLS 1.0 и 1.1?
До сентября 2025 года номера SKU версии 2 используют две политики TLS по умолчанию на основе версии API, указанной во время развертывания ресурсов. Развертывания с помощью API версии 2023-02-01 или более поздней применяются AppGwSslPolicy20220101 по умолчанию, а более ранние версии API используются AppGwSslPolicy20150501.
При отключении TLS 1.0 и 1.1 старая AppGwSslPolicy20150501 политика будет прекращена. Таким образом, AppGwSslPolicy20220101 станет политикой по умолчанию для всех шлюзов версии 2. После реализации этого изменения политики по умолчанию последующие операции PUT завершат обновление конфигурации.
Политика по умолчанию для SKU версии 1 останется неизменной, так как AppGwSslPolicy20220101 не будет введена для этого номера SKU с выходом на пенсию.
Note
Политика TLS по умолчанию применяется только в том случае, если параметр default выбран на портале или если политика TLS не указана в конфигурации ресурсов с помощью таких средств, как REST, PowerShell или AzCLI. Соответственно, использование политики по умолчанию в конфигурации не совпадает с явной выборкой
AppGwSslPolicy20150501политики, даже еслиAppGwSslPolicy20150501используется политика по умолчанию для версии API.Изменения будут применяться постепенно во всех регионах Azure.
Какие политики TLS в шлюзе приложений устарели?
Предопределенные политики AppGwSslPolicy20150501 и AppGwSslPolicy20170401 поддерживаемые TLS версии 1.0 и 1.1 будут удалены из конфигурации Azure Resource Manager. Аналогичным образом пользовательская политика перестанет поддерживать версии TLS 1.0 и 1.1 вместе со связанными наборами шифров. Это относится к номерам SKU версии 1 и V2.
Будет ли группа продуктов Шлюза приложений автоматически обновлять конфигурацию до поддерживаемой политики TLS?
Шлюз приложений не изменяет какой-либо ресурс, имеющий пользовательские конфигурации TLS. Только политика TLS по умолчанию для шлюзов, которые явно не устанавливают политику TLS или не имеют параметров, связанных с TLS (например, httpS или прослушивателей TLS), будут автоматически обновляться для использования AppGwSslPolicy20220101.
Будет ли мой шлюз работать в состоянии сбоя?
Если вы выбрали любую нерекомендующую политику TLS в конфигурации шлюза и не обновите ее до поддерживаемой политики к августу 2025 года, шлюз введет состояние сбоя при выполнении обновления конфигурации.
Нефункциональная конфигурация TLS, например SSLProfile, не связанная с любым прослушивателем, не влияет на уровень управления шлюза.
Как планируется выпуск для этого изменения?
Учитывая масштаб нашего флота, после 30 августа 2025 года, отмена использования версий TLS будет реализована отдельно для плоскостей управления и данных. Какие-либо сведения о регионе не будут доступны; Поэтому мы настоятельно советуем вам предпринять все необходимые действия на самом раннем этапе.
Существует ли какое-либо потенциальное влияние, если я не выбрал какую-либо политику TLS, и мой шлюз использует только конфигурации HTTP/TCP?
Если шлюз не использует какую-либо конфигурацию TLS ( через SSLPolicy, SSLProfile, HTTPS или прослушиватели TLS), не будет влияния после августа 2025 года.
Дальнейшие шаги
Сведения о типах политик и конфигурациях TLS см. в обновлениях Azure для уведомления о выходе на пенсию