Mengamankan aplikasi Anda dengan TLS minimum (lingkungan standar)

Untuk meningkatkan keamanan, mulai Maret 2025, dukungan untuk Transport Layer Security (TLS) versi 1.1 dan yang lebih lama tidak akan digunakan lagi. Perbarui setelan aplikasi Anda di lingkungan standar App Engine untuk menggunakan TLS versi 1.2 dan yang lebih baru, beserta serangkaian cipher suite aman yang sesuai.

Saat Anda memilih versi TLS terbaru, App Engine akan otomatis memblokir traffic yang tidak aman, tanpa mengharuskan Anda mengonfigurasi Load Balancer Aplikasi eksternal global untuk merutekan permintaan ke aplikasi Anda.

Untuk mengupgrade aplikasi yang ada agar hanya menggunakan TLS versi 1.2 dan yang lebih baru, ikuti petunjuk dalam panduan ini.

Cipher suite dan versi TLS yang didukung

Keamanan koneksi TLS bergantung pada cipher suite yang dinegosiasikan, yaitu kombinasi algoritma kriptografi. Cipher suite ini diidentifikasi oleh nilai IANA, seperti yang dijelaskan dalam tabel berikut:

Versi TLS Nilai IANA Cipher suite
TLS v1.3 0x1301 TLS_AES_128_GCM_SHA256
0x1302 TLS_AES_256_GCM_SHA384
0x1303 TLS_CHACHA20_POLY1305_SHA256
TLS v1.2 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Jika Anda perlu menggunakan cipher suite yang berbeda atau kurang ketat, sebaiknya gunakan Load Balancer Aplikasi eksternal global. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan Load Balancer Aplikasi klasik dengan App Engine dan Kebijakan SSL untuk protokol SSL dan TLS dalam dokumentasi Cloud Load Balancing.

Memperbarui versi TLS yang diizinkan untuk aplikasi Anda

Anda dapat mengupdate versi TLS menggunakan konsol Google Cloud atau gcloud CLI. Untuk mengetahui langkah-langkah khusus alat, klik tab untuk alat pilihan Anda:

Konsol

  1. Di konsol Google Cloud , buka halaman Settings App Engine:

    Buka Setelan

  2. Di tab Setelan aplikasi, klik Edit setelan aplikasi.

  3. Dari daftar SSL Policy, pilih TLS 1.2+ (Modern ciphers). Pilihan ini hanya mengizinkan TLS versi 1.2 dan yang lebih baru, dengan cipher suite modern. Jika Anda ingin mengizinkan versi TLS yang kurang aman, seperti 1.0 dan yang lebih baru, pilih TLS 1.0+ (Tidak digunakan lagi). Namun, sebaiknya update aplikasi Anda untuk menggunakan versi TLS yang didukung terbaru.

  4. Klik Simpan.

gcloud

Saat Anda membuat atau mengupdate aplikasi, gunakan flag --ssl-policy untuk menentukan versi TLS minimum yang diizinkan.

Untuk menetapkan versi TLS minimum saat membuat aplikasi:

gcloud app create --ssl-policy=TLS_VERSION

Untuk menetapkan versi TLS minimum saat mengupdate aplikasi Anda:

gcloud app update --ssl-policy=TLS_VERSION

Ganti TLS_VERSION dengan TLS_VERSION_1_2. Opsi ini hanya mengizinkan TLS versi 1.2 dan yang lebih baru, dengan cipher suite modern. Jika Anda ingin mengizinkan versi TLS yang kurang aman, seperti 1.0 dan yang lebih baru, ganti TLS_VERSION dengan TLS_VERSION_1_0. Namun, sebaiknya update aplikasi Anda untuk menggunakan versi TLS yang didukung terbaru.

Menonaktifkan cipher dan versi TLS kustom

Jika Anda memperbarui setelan aplikasi untuk menggunakan TLS versi 1.2 dan yang lebih baru, App Engine akan otomatis memblokir semua traffic yang tidak aman menggunakan TLS versi 1.1 dan yang lebih lama.

Jika menggunakan Cloud Load Balancing dan NEGS serverless untuk merutekan traffic ke aplikasi App Engine, Anda dapat menonaktifkan cipher atau versi TLS dengan menetapkan kebijakan keamanan SSL. Tentukan versi TLS dan cipher yang dapat digunakan oleh koneksi HTTPS atau SSL.

Langkah berikutnya