Diese Seite wurde von der Cloud Translation API übersetzt.

App mit TLS-Mindestversion sichern (flexible Umgebung)

Zur Erhöhung der Sicherheit wird die Unterstützung für Transport Layer Security (TLS) Version 1.1 und früher ab März 2025 eingestellt. Aktualisieren Sie die Anwendungseinstellungen in der flexiblen App Engine-Umgebung, um TLS-Version 1.2 und höher sowie eine entsprechende sichere Gruppe von Chiffresammlungen zu verwenden.

Wenn Sie die neueste TLS-Version auswählen, blockiert App Engine automatisch unsicheren Traffic, ohne dass Sie einen globalen externen Application Load Balancer konfigurieren müssen, um Anfragen an Ihre Anwendung weiterzuleiten.

Wenn Sie Ihre vorhandenen Anwendungen so aktualisieren möchten, dass nur TLS-Version 1.2 und höher verwendet wird, folgen Sie der Anleitung in diesem Leitfaden.

Hinweis :Wenn Sie Ihre Anwendungseinstellungen so aktualisieren, dass TLS-Version 1.2 und höher erzwungen wird, lehnt App Engine eingehende Anfragen, bei denen versucht wird, ältere, weniger sichere TLS-Versionen 1.1 und früher zu verwenden, automatisch ab. Vor März 2026 führt diese Ablehnung nach einem erfolgreichen TLS-Handshake zu einem 400 Bad Request - The request was malformed-Fehler. Das bedeutet, dass die Verbindung hergestellt wird, die Anfrage selbst aber abgelehnt wird. Externe Websites zur SSL-Prüfung überprüfen möglicherweise nur einen erfolgreichen TLS-Handshake und implizieren fälschlicherweise, dass TLS-Version 1.1 und früher weiterhin unterstützt werden. Nach März 2026 sorgt App Engine für eine strengere Sicherheitskonformität, indem der TLS-Handshake selbst für Verbindungen mit TLS-Version 1.1 und früher verhindert wird.

Unterstützte TLS-Versionen und Chiffresammlungen

Die Sicherheit von TLS-Verbindungen hängt von der ausgehandelten Cipher Suite ab, einer Kombination aus kryptografischen Algorithmen. Diese Cipher Suites werden durch IANA-Werte identifiziert, wie in der folgenden Tabelle beschrieben:

TLS-Version	IANA-Wert	Cipher Suite
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Wenn Sie eine andere oder weniger restriktive Cipher Suite verwenden müssen, empfehlen wir, einen globalen externen Application Load Balancer zu verwenden. Weitere Informationen finden Sie in der Cloud Load Balancing-Dokumentation unter Klassischen Application Load Balancer mit App Engine einrichten und SSL-Richtlinien für SSL- und TLS-Protokolle.

Zulässige TLS-Versionen für Ihre App aktualisieren

Sie können die TLS-Version über die Google Cloud Console oder die gcloud CLI aktualisieren. Klicken Sie für toolspezifische Schritte auf den Tab für das gewünschte Tool:

Console

Rufen Sie in der Google Cloud Console die App Engine-Seite Einstellungen auf:

Einstellungen aufrufen
Klicken Sie auf dem Tab Anwendungseinstellungen auf Anwendungseinstellungen bearbeiten.
Wählen Sie in der Liste SSL-Richtlinie die Option TLS 1.2+ (moderne Chiffren) aus. Bei dieser Auswahl sind nur TLS-Version 1.2 und höher mit modernen Cipher Suites zulässig. Wenn Sie weniger sichere TLS-Versionen wie 1.0 und höher zulassen möchten, wählen Sie TLS 1.0+ (obsolet) aus. Wir empfehlen jedoch, Ihre Anwendungen auf die neueste unterstützte TLS-Version zu aktualisieren.
Klicken Sie auf Speichern.

gcloud

Wenn Sie Ihre Anwendung erstellen oder aktualisieren, verwenden Sie das Flag --ssl-policy, um die zulässige Mindestversion von TLS anzugeben.

So legen Sie beim Erstellen Ihrer App eine TLS-Mindestversion fest:

gcloud app create --ssl-policy=TLS_VERSION

So legen Sie beim Aktualisieren Ihrer App eine TLS-Mindestversion fest:

gcloud app update --ssl-policy=TLS_VERSION

Ersetzen Sie TLS_VERSION durch TLS_VERSION_1_2. Dadurch werden nur TLS-Version 1.2 und höher mit modernen Chiffresammlungen zugelassen. Wenn Sie weniger sichere TLS-Versionen wie 1.0 und höher zulassen möchten, ersetzen Sie TLS_VERSION durch TLS_VERSION_1_0. Wir empfehlen Ihnen jedoch, Ihre Anwendungen auf die neueste unterstützte TLS-Version zu aktualisieren.

Benutzerdefinierte TLS-Versionen und ‑Chiffren deaktivieren

Wenn Sie Ihre Anwendungseinstellungen so aktualisieren, dass TLS-Version 1.2 und höher verwendet wird, blockiert App Engine automatisch den gesamten unsicheren Traffic mit TLS-Version 1.1 und niedriger.

Wenn Sie Cloud Load Balancing und serverlose NEGs verwenden, um Traffic an Ihre App Engine-Anwendung weiterzuleiten, können Sie eine TLS-Version oder -Chiffre deaktivieren, wenn Sie eine SSL-Sicherheitsrichtlinie definieren. Geben Sie die TLS-Versionen und -Chiffren an, die für HTTPS- oder SSL-Verbindungen verwendet werden können.

Nächste Schritte

Informationen zum Prüfen und Verwalten von SSL-Zertifikaten finden Sie unter Benutzerdefinierte Domains mit SSL sichern.
Informationen zum Verwalten eingehender Anfragen an Ihre benutzerdefinierte Domain durch Cloud Load Balancing finden Sie unter Benutzerdefinierte App Engine-Domain zu Cloud Load Balancing migrieren.