Cette page a été traduite par l'API Cloud Translation.

Sécuriser votre application avec TLS minimal (environnement flexible)

Pour renforcer la sécurité, à partir de mars 2025, la prise en charge de la version 1.1 de Transport Layer Security (TLS) et des versions antérieures sera abandonnée. Mettez à jour les paramètres de votre application dans l'environnement flexible App Engine pour utiliser la version 1.2 du protocole TLS ou une version ultérieure, ainsi qu'un ensemble sécurisé de suites de chiffrement correspondant.

Lorsque vous sélectionnez la dernière version TLS, App Engine bloque automatiquement le trafic non sécurisé, sans que vous ayez à configurer un équilibreur de charge d'application externe global pour acheminer les requêtes vers votre application.

Pour mettre à niveau vos applications existantes afin qu'elles n'utilisent que TLS 1.2 ou version ultérieure, suivez les instructions de ce guide.

Remarque :Si vous mettez à jour les paramètres de votre application pour appliquer la version 1.2 de TLS ou ultérieure, App Engine rejette automatiquement les requêtes entrantes qui tentent d'utiliser les versions 1.1 et antérieures de TLS, moins sécurisées. Avant mars 2026, ce refus entraîne une erreur 400 Bad Request - The request was malformed après un handshake TLS réussi, ce qui signifie que la connexion est établie, mais que la requête elle-même est refusée. Les sites externes de vérification SSL ne peuvent vérifier qu'un handshake TLS réussi et peuvent indiquer de manière incorrecte que les versions TLS 1.1 et antérieures sont toujours prises en charge. Après mars 2026, App Engine assurera une conformité de sécurité plus stricte en empêchant le handshake TLS lui-même pour les connexions utilisant la version 1.1 de TLS ou antérieure.

Versions et suites de chiffrement TLS compatibles

La sécurité des connexions TLS dépend de la suite de chiffrement négociée, une combinaison d'algorithmes cryptographiques. Ces suites de chiffrement sont identifiées par des valeurs IANA, comme indiqué dans le tableau suivant:

Version TLS	Valeur IANA	Suite de chiffrement
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Mettre à jour les versions TLS autorisées pour votre application

Vous pouvez mettre à jour la version TLS à l'aide de la console Google Cloud ou de gcloud CLI. Pour connaître la procédure à suivre avec un outil spécifique, cliquez sur l'onglet correspondant à l'outil de votre choix:

Console

Dans la console Google Cloud , accédez à la page Paramètres d'App Engine:

Accéder aux paramètres
Dans l'onglet Paramètres des applications, cliquez sur Modifier les paramètres de l'application.
Dans la liste Règle SSL, sélectionnez TLS 1.2 ou version ultérieure (algorithmes de chiffrement modernes). Cette sélection n'autorise que TLS 1.2 ou version ultérieure, avec des suites de chiffrement modernes. Si vous souhaitez autoriser des versions TLS moins sécurisées, telles que TLS 1.0 et versions ultérieures, sélectionnez TLS 1.0 et versions ultérieures (obsolète). Toutefois, nous vous recommandons de mettre à jour vos applications pour qu'elles utilisent la dernière version TLS compatible.
Cliquez sur Enregistrer.

gcloud

Lorsque vous créez ou mettez à jour votre application, utilisez l'option --ssl-policy pour spécifier la version TLS minimale autorisée.

Pour définir une version TLS minimale lors de la création de votre application:

gcloud app create --ssl-policy=TLS_VERSION

Pour définir une version TLS minimale lors de la mise à jour de votre application:

gcloud app update --ssl-policy=TLS_VERSION

Remplacez TLS_VERSION par TLS_VERSION_1_2. Cette option n'autorise que TLS 1.2 ou version ultérieure, avec des suites de chiffrement modernes. Si vous souhaitez autoriser une version TLS moins sécurisée, telle que la version 1.0 ou ultérieure, remplacez TLS_VERSION par TLS_VERSION_1_0. Toutefois, nous vous recommandons de mettre à jour vos applications pour qu'elles utilisent la dernière version TLS compatible.

Désactiver les versions et algorithmes de chiffrement TLS personnalisés

Si vous mettez à jour les paramètres de votre application pour qu'elle utilise TLS version 1.2 ou ultérieure, App Engine bloque automatiquement tout trafic non sécurisé utilisant TLS version 1.1 ou antérieure.

Si vous utilisez Cloud Load Balancing et des NEG sans serveur pour acheminer le trafic vers votre application App Engine, vous pouvez désactiver une version ou un algorithme de chiffrement TLS en définissant une règle de sécurité SSL. Spécifiez les versions et algorithmes de chiffrement TLS que les connexions HTTPS ou SSL peuvent utiliser.

Étape suivante

Pour valider et gérer les certificats SSL, consultez Sécuriser les domaines personnalisés avec SSL.
Pour permettre à Cloud Load Balancing de gérer les requêtes entrantes vers votre domaine personnalisé, consultez la page Migrer un domaine personnalisé App Engine vers Cloud Load Balancing.