Para aumentar a segurança, a partir de março de 2025, o suporte para o Transport Layer Security (TLS) versão 1.1 e anteriores será descontinuado. Atualize as configurações do aplicativo no ambiente flexível do App Engine para usar o TLS versão 1.2 e mais recentes, junto com um conjunto seguro correspondente de pacotes de criptografia.
Quando você seleciona a versão TLS mais recente, o App Engine bloqueia automaticamente o tráfego não seguro, sem que você precise configurar um balanceador de carga de aplicativo externo global para encaminhar solicitações ao seu aplicativo.
Para fazer upgrade dos aplicativos atuais para usar apenas o TLS versão 1.2 e mais recentes, siga as instruções deste guia.
Versões e pacotes de criptografia do TLS com suporte
A segurança das conexões TLS depende do conjunto de cifras negociado, uma combinação de algoritmos criptográficos. Essas suítes de criptografia são identificadas por valores IANA, conforme detalhado na tabela a seguir:
| Versão TLS | Valor da IANA | Pacote de criptografia |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Atualizar as versões do TLS permitidas para o app
É possível atualizar a versão do TLS usando o console Google Cloud ou a CLI gcloud. Para etapas específicas da ferramenta, clique na guia da ferramenta de sua preferência:
Console
No Google Cloud console, acesse a página Configurações do App Engine:
Na guia Configurações do aplicativo, clique em Editar configurações do aplicativo.
Na lista Política de SSL, selecione TLS 1.2 ou mais recente (cifras modernas). Essa seleção só permite a versão 1.2 ou mais recente do TLS, com suítes de criptografia modernas. Se você quiser permitir versões de TLS menos seguras, como a 1.0 e versões mais recentes, selecione TLS 1.0+ (obsoleta). No entanto, recomendamos que você atualize seus aplicativos para usar a versão TLS com suporte mais recente.
Clique em Salvar.
gcloud
Ao criar ou atualizar o aplicativo, use a flag --ssl-policy para
especificar a versão mínima de TLS permitida.
Para definir uma versão mínima de TLS ao criar o app:
gcloud app create --ssl-policy=TLS_VERSION
Para definir uma versão mínima de TLS ao atualizar o app:
gcloud app update --ssl-policy=TLS_VERSION
Substitua TLS_VERSION por TLS_VERSION_1_2. Isso só permite a versão TLS
1.2 e mais recentes, com conjuntos de criptografia modernos. Se você quiser permitir uma versão de TLS menos segura,
como a 1.0 e versões mais recentes, substitua TLS_VERSION por TLS_VERSION_1_0. No entanto, recomendamos que você atualize seus
aplicativos para usar a versão TLS com suporte mais recente.
Desativar versões e criptografias TLS personalizadas
Se você atualizar as configurações do aplicativo para usar a versão 1.2 e mais recentes do TLS, o App Engine vai bloquear automaticamente todo o tráfego não seguro usando a versão 1.1 e anteriores do TLS.
Se você usar o Cloud Load Balancing e os NEGs sem servidor para rotear o tráfego para seu aplicativo do App Engine, poderá desativar uma versão ou criptografia TLS definindo uma política de segurança SSL. Especifique as versões e criptografias TLS que as conexões HTTPS ou SSL podem usar.
A seguir
Para verificar e gerenciar certificados SSL, consulte Proteger domínios personalizados com SSL.
Para ativar o Cloud Load Balancing para gerenciar as solicitações recebidas no seu domínio personalizado, consulte Migrar o domínio personalizado do App Engine para o Cloud Load Balancing.