Proteggi la tua app con TLS minimo (ambiente standard)

Per aumentare la sicurezza, a partire da marzo 2025 il supporto per la versione 1.1 e precedenti di Transport Layer Security (TLS) verrà ritirato. Aggiorna le impostazioni dell'applicazione nell'ambiente standard di App Engine per utilizzare la versione TLS 1.2 e successive, insieme a un insieme sicuro corrispondente di suite di crittografia.

Quando selezioni la versione TLS più recente, App Engine blocca automaticamente il traffico non sicuro, senza che tu debba configurare un bilanciatore del carico delle applicazioni esterno globale per instradare le richieste alla tua applicazione.

Per eseguire l'upgrade delle applicazioni esistenti in modo che utilizzino solo TLS 1.2 e versioni successive, segui le istruzioni riportate in questa guida.

Versioni e suite di crittografia TLS supportate

La sicurezza delle connessioni TLS dipende dalla suite di crittografia negoziata, ovvero da una combinazione di algoritmi crittografici. Queste suite di crittografia sono identificate da valori IANA, come descritto nella tabella seguente:

Versione TLS Valore IANA Suite di crittografia
TLS 1.3 0x1301 TLS_AES_128_GCM_SHA256
0x1302 TLS_AES_256_GCM_SHA384
0x1303 TLS_CHACHA20_POLY1305_SHA256
TLS 1.2 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Aggiornare le versioni TLS consentite per l'app

Puoi aggiornare la versione TLS utilizzando la Google Cloud console o gcloud CLI. Per i passaggi specifici dello strumento, fai clic sulla scheda dello strumento preferito:

Console

  1. Nella Google Cloud console, vai alla pagina Impostazioni di App Engine:

    Vai alle impostazioni

  2. Nella scheda Impostazioni applicazione, fai clic su Modifica impostazioni applicazione.

  3. Nell'elenco Criterio SSL, seleziona TLS 1.2 e versioni successive (algoritmi di crittografia moderni). Questa selezione consente solo TLS versione 1.2 e successive, con suite di crittografia moderne. Se vuoi consentire versioni TLS meno sicure, come 1.0 e versioni successive, seleziona TLS 1.0 e versioni successive (obsolete). Tuttavia, ti consigliamo di aggiornare le applicazioni in modo da utilizzare la versione TLS supportata più recente.

  4. Fai clic su Salva.

gcloud

Quando crei o aggiorni l'applicazione, utilizza il flag --ssl-policy per specificare la versione TLS minima consentita.

Per impostare una versione TLS minima durante la creazione dell'app:

gcloud app create --ssl-policy=TLS_VERSION

Per impostare una versione TLS minima durante l'aggiornamento dell'app:

gcloud app update --ssl-policy=TLS_VERSION

Sostituisci TLS_VERSION con TLS_VERSION_1_2. Sono consentite solo le versioni TLS 1.2 e successive, con suite di crittografia moderne. Se vuoi consentire una versione TLS meno sicura, come 1.0 e versioni successive, sostituisci TLS_VERSION con TLS_VERSION_1_0. Tuttavia, ti consigliamo di aggiornare le tue applicazioni in modo che utilizzino la versione TLS supportata più recente.

Disattivare le versioni e le crittografie TLS personalizzate

Se aggiorni le impostazioni dell'applicazione in modo da utilizzare la versione TLS 1.2 e successive, App Engine blocca automaticamente tutto il traffico non sicuro che utilizza la versione TLS 1.1 e precedenti.

Se utilizzi Cloud Load Balancing e NEG serverless per instradare il traffico verso la tua applicazione App Engine, puoi disattivare una versione o una crittografia TLS definendo un criterio di sicurezza SSL. Specifica le versioni e i metodi di crittografia TLS che possono essere utilizzati dalle connessioni HTTPS o SSL.

Passaggi successivi