Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ Front Door Standard ✔️ Front Door Premium
Azure Front Door поддерживает сквозное шифрование TLS. При добавлении личного домена в Azure Front Door требуется протокол HTTPS, и необходимо определить политику TLS, которая включает управление версией протокола TLS и наборами шифров во время подтверждения TLS.
Azure Front Door поддерживает две версии протокола TLS: TLS версии 1.2 и 1.3. В настоящее время Azure Front Door не поддерживает клиентскую/взаимную аутентификацию (mTLS).
Примечание.
По состоянию на 1 марта 2025 г. минимальная версия TLS 1.0 и 1.1 запрещена в Azure Front Door.
Azure Front Door версий Standard и Premium предлагают два механизма управления политикой TLS. Вы можете использовать предопределенную политику или пользовательскую политику в соответствии с вашими потребностями. Если вы используете Azure Front Door (классическая версия) и Microsoft CDN (классическая), вы продолжите использовать минимальную версию TLS 1.2.
- Azure Front Door предлагает несколько стандартных политик TLS. AFD можно настроить с одной из этих политик, чтобы достичь нужного уровня безопасности. Эти предопределенные политики настроены с учетом лучших практик и рекомендаций группы безопасности Microsoft. Мы рекомендуем использовать новейшие политики TLS, чтобы задействовать наилучшие средства безопасности TLS.
- Если политика TLS должна быть настроена для собственных бизнес-требований и требований к безопасности, можно использовать настраиваемую политику TLS. С помощью настраиваемой политики TLS вы полностью контролируете минимальную версию протокола TLS для поддержки и поддерживаемые наборы шифров.
Для минимальной версии TLS 1.2 согласование попытается установить TLS 1.3, а затем TLS 1.2. Клиент должен поддерживать по крайней мере один из поддерживаемых шифров, чтобы установить подключение HTTPS к Azure Front Door. Azure Front Door выбирает шифр в указанном порядке из поддерживаемых клиентом шифров.
Когда Azure Front Door инициирует трафик TLS к источнику, он попытается согласовать лучшую версию TLS, которую источник может надежно и согласованно принимать. Поддерживаемые версии TLS для подключений источника: TLS 1.2 и TLS 1.3.
Примечание.
Для успешного выполнения запросов с Azure Front Door через TLS 1.3 клиенты с включенным TLS 1.3 должны поддерживать одну из кривых Эллиптической Криптографии, совместимых с Microsoft SDL, включая Secp384r1, Secp256r1 и Secp521. Клиентам рекомендуется использовать одну из этих кривых как предпочтительную во время запросов, чтобы избежать увеличения задержки TLS-рукопожатия, что может потребовать нескольких обменов данными для согласования поддерживаемой эллиптической кривой (EC).
Предопределенная политика TLS
Azure Front Door предлагает несколько стандартных политик TLS. AFD можно настроить с одной из этих политик, чтобы достичь нужного уровня безопасности. Имена политик помечены минимальной версией TLS и годом, в котором они были установлены (TLSv1.2_2023>). Каждая политика предлагает разные версии протокола TLS и /или наборы шифров. Эти предопределенные политики настроены с учетом лучших практик и рекомендаций группы безопасности Microsoft. Мы рекомендуем использовать новейшие политики TLS, чтобы задействовать наилучшие средства безопасности TLS.
В следующей таблице показан список наборов шифров и минимальная поддержка версий протокола для каждой предопределенной политики. Порядок комплектов шифров определяет порядок приоритета во время согласования TLS.
По умолчанию будет выбрана TLSv1.2_2023. TLSv1.2_2022 соотносится с минимальной версией TLS 1.2 в предыдущей концепции. Некоторые могут увидеть версию TLSv1.0/1.1_2019, которая соответствует минимальной версии TLS 1.0/1.1 в предыдущей конфигурации, поскольку они конкретно не переключаются на минимальную версию TLS 1.2. Политика TLSv1.0/1.1_2019 будет удалена и отключена в апреле 2025 года.
| OpenSSL | Набор шифров | TLSv1.2_2023 | TLSv1.2_2022 |
|---|---|---|---|
| Минимальная версия протокола | 1.2 | 1.2 | |
| поддерживаемые протоколы | 1.3/1.2 | 1.3./1.2 | |
| TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | Да | Да |
| TLS_AES_128_GCM_SHA256 | TLS_AES_128_GCM_SHA256 | Да | Да |
| ECDHE-RSA-AES256-GCM-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | Да | Да |
| ECDHE-RSA-AES128-GCM-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | Да | Да |
| DHE-RSA-AES256-GCM-SHA384 | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Да | |
| DHE-RSA-AES128-GCM-SHA256 | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Да | |
| ECDHE-RSA-AES256-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | Да | |
| ECDHE-RSA-AES128-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | Да |
Настраиваемая политика TLS
Если политика TLS должна быть настроена для ваших требований, можно использовать настраиваемую политику TLS. С помощью настраиваемой политики TLS вы полностью контролируете минимальную версию протокола TLS для поддержки, а также поддерживаемые наборы шифров и их порядок приоритета.
Примечание.
ПРОТОКОЛ TLS 1.3 всегда включен независимо от минимальной версии.
Комплекты шифров
Azure Front Door поддерживает следующие наборы шифров, из которых можно выбрать настраиваемую политику. Порядок комплектов шифров определяет порядок приоритета во время согласования TLS.
- TLS_AES_256_GCM_SHA384 (только TLS 1.3)
- TLS_AES_128_GCM_SHA256 (только TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Примечание.
Для Windows 10 и более поздних версий рекомендуется включить один или оба набора шифров ECDHE_GCM для повышения безопасности. Windows 8.1, 8 и 7 несовместимы с этими наборами шифров ECDHE_GCM. Наборы шифров DHE и ECDHE_CBC были предоставлены для обеспечения совместимости с этими операционными системами.