Untuk meningkatkan keamanan, mulai Maret 2025, dukungan untuk Transport Layer Security (TLS) versi 1.1 dan yang lebih lama tidak digunakan lagi. Perbarui setelan aplikasi Anda di lingkungan standar App Engine untuk menggunakan TLS versi 1.2 dan yang lebih baru, beserta kumpulan cipher suite aman yang sesuai.
Saat Anda memilih versi TLS terbaru, App Engine akan otomatis memblokir traffic yang tidak aman, tanpa mengharuskan Anda mengonfigurasi Load Balancer Aplikasi eksternal global untuk merutekan permintaan ke aplikasi Anda.
Untuk mengupgrade aplikasi yang ada agar hanya menggunakan TLS versi 1.2 dan yang lebih baru, ikuti petunjuk dalam panduan ini.
Versi dan cipher suite TLS yang didukung
Keamanan koneksi TLS bergantung pada cipher suite yang dinegosiasikan, yaitu kombinasi algoritma kriptografi. Cipher suite ini diidentifikasi oleh nilai IANA, seperti yang dijelaskan dalam tabel berikut:
| Versi TLS | Nilai IANA | Suite cipher |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Memperbarui versi TLS yang diizinkan untuk aplikasi Anda
Anda dapat mengupdate versi TLS menggunakan Google Cloud konsol atau gcloud CLI. Untuk langkah-langkah khusus alat, klik tab untuk alat pilihan Anda:
Konsol
Di konsol Google Cloud , buka halaman Setelan App Engine:
Pada tab Setelan aplikasi, klik Edit setelan aplikasi.
Dari daftar SSL Policy, pilih TLS 1.2+ (Modern ciphers). Pilihan ini hanya mengizinkan TLS versi 1.2 dan yang lebih baru, dengan suite cipher modern. Jika Anda ingin mengizinkan versi TLS yang kurang aman, seperti 1.0 dan yang lebih baru, pilih TLS 1.0+ (Tidak Digunakan Lagi). Namun, sebaiknya update aplikasi Anda untuk menggunakan versi TLS terbaru yang didukung.
Klik Simpan.
gcloud
Saat membuat atau mengupdate aplikasi, gunakan flag --ssl-policy untuk menentukan versi TLS minimum yang diizinkan.
Untuk menetapkan versi TLS minimum saat membuat aplikasi:
gcloud app create --ssl-policy=TLS_VERSION
Untuk menetapkan versi TLS minimum saat mengupdate aplikasi:
gcloud app update --ssl-policy=TLS_VERSION
Ganti TLS_VERSION dengan TLS_VERSION_1_2. Tindakan ini hanya mengizinkan TLS versi
1.2 dan yang lebih baru, dengan cipher suite modern. Jika Anda ingin mengizinkan versi TLS yang kurang aman,
seperti, 1.0 dan yang lebih baru, ganti TLS_VERSION dengan TLS_VERSION_1_0. Namun, sebaiknya update
aplikasi Anda untuk menggunakan versi TLS terbaru yang didukung.
Menonaktifkan cipher dan versi TLS kustom
Jika Anda memperbarui setelan aplikasi untuk menggunakan TLS versi 1.2 dan yang lebih baru, App Engine akan otomatis memblokir semua traffic tidak aman yang menggunakan TLS versi 1.1 dan yang lebih lama.
Jika menggunakan Cloud Load Balancing dan NEGS serverless untuk merutekan traffic ke aplikasi App Engine, Anda dapat menonaktifkan cipher atau versi TLS dengan menentukan kebijakan keamanan SSL. Tentukan versi dan cipher TLS yang dapat digunakan koneksi HTTPS atau SSL.
Langkah berikutnya
Untuk memverifikasi dan mengelola sertifikat SSL, lihat Mengamankan domain kustom dengan SSL.
Untuk mengaktifkan Cloud Load Balancing guna mengelola permintaan masuk ke domain kustom Anda, lihat Memigrasikan domain kustom App Engine ke Cloud Load Balancing.