Se usó la API de Cloud Translation para traducir esta página.

Protege tu app con TLS mínimo (entorno flexible)

Para aumentar la seguridad, a partir de marzo de 2025, dejará de estar disponible la compatibilidad con la versión 1.1 y anteriores de la seguridad de la capa de transporte (TLS). Actualiza la configuración de tu aplicación en el entorno flexible de App Engine para usar la versión 1.2 de TLS y versiones posteriores, junto con un conjunto seguro de algoritmos de cifrado correspondiente.

Cuando seleccionas la versión más reciente de TLS, App Engine bloquea automáticamente el tráfico no seguro, sin necesidad de que configures un balanceador de cargas de aplicaciones externo global para enrutar las solicitudes a tu aplicación.

Para actualizar tus aplicaciones existentes para que usen solo la versión 1.2 de TLS y versiones posteriores, sigue las instrucciones de esta guía.

Nota: Si actualizas la configuración de tu aplicación para aplicar la versión 1.2 de TLS y versiones posteriores, App Engine rechaza automáticamente las solicitudes entrantes que intentan usar versiones anteriores y menos seguras de TLS, como la 1.1. Antes de marzo de 2026, este rechazo genera un error 400 Bad Request - The request was malformed después de un protocolo de enlace TLS exitoso, lo que significa que se establece la conexión, pero se rechaza la solicitud. Es posible que los sitios externos de verificación de SSL solo verifiquen un protocolo de enlace TLS exitoso y den a entender de forma incorrecta que la versión 1.1 de TLS y versiones anteriores aún son compatibles. Después de marzo de 2026, App Engine garantizará un cumplimiento de seguridad más estricto, ya que impedirá el protocolo de enlace TLS para las conexiones que usen la versión 1.1 de TLS y versiones anteriores.

Versiones de TLS y conjuntos de algoritmos de cifrado compatibles

La seguridad de las conexiones TLS depende del conjunto de algoritmos de cifrado negociado, una combinación de algoritmos de criptografía. Estos algoritmos de cifrado se identifican con valores de IANA, como se detalla en la siguiente tabla:

Versión de TLS	Valor de IANA	Conjunto de algoritmos de cifrado
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Actualiza las versiones de TLS permitidas para tu app

Puedes actualizar la versión de TLS con la consola de Google Cloud o gcloud CLI. Para ver los pasos específicos de la herramienta, haz clic en la pestaña de la herramienta que prefieras:

Console

En la consola de Google Cloud , ve a la página Configuración de App Engine:

Ir a la configuración
En la pestaña Configuración de la aplicación, haz clic en Editar configuración de la aplicación.
En la lista Política de SSL, selecciona TLS 1.2 y versiones posteriores (algoritmos de cifrado modernos). Esta selección solo permite la versión 1.2 de TLS y versiones posteriores, con conjuntos de algoritmos de cifrado modernos. Si deseas permitir versiones de TLS menos seguras, como la 1.0 y versiones posteriores, selecciona TLS 1.0 y versiones posteriores (obsoleto). Sin embargo, te recomendamos que actualices tus aplicaciones para usar la versión de TLS compatible más reciente.
Haz clic en Guardar.

gcloud

Cuando crees o actualices tu aplicación, usa la marca --ssl-policy para especificar la versión mínima de TLS permitida.

Para establecer una versión mínima de TLS mientras creas tu app, haz lo siguiente:

gcloud app create --ssl-policy=TLS_VERSION

Para establecer una versión mínima de TLS mientras actualizas tu app, haz lo siguiente:

gcloud app update --ssl-policy=TLS_VERSION

Reemplaza TLS_VERSION por TLS_VERSION_1_2. Esto solo permite la versión TLS 1.2 y versiones posteriores, con conjuntos de algoritmos de cifrado modernos. Si deseas permitir una versión de TLS menos segura, como 1.0 y versiones posteriores, reemplaza TLS_VERSION por TLS_VERSION_1_0. Sin embargo, te recomendamos que actualices tus aplicaciones para usar la versión más reciente de TLS compatible.

Inhabilita algoritmos de cifrado y versiones de TLS personalizados

Si actualizas la configuración de tu aplicación para usar la versión 1.2 de TLS y versiones posteriores, App Engine bloqueará automáticamente todo el tráfico no seguro que use la versión 1.1 de TLS y versiones anteriores.

Si usas Cloud Load Balancing y NEG sin servidores para enrutar el tráfico a tu aplicación de App Engine, puedes inhabilitar un algoritmo de cifrado o una versión de TLS con solo definir una política de seguridad de SSL. Especifica las versiones y los algoritmos de cifrado de TLS que pueden usar las conexiones HTTPS o SSL.

¿Qué sigue?

Para verificar y administrar certificados SSL, consulta Protege dominios personalizados con SSL.
Para habilitar Cloud Load Balancing para que administre las solicitudes entrantes a tu dominio personalizado, consulta Migra el dominio personalizado de App Engine a Cloud Load Balancing.