Per aumentare la sicurezza, a partire da marzo 2025 il supporto per la versione 1.1 e precedenti di Transport Layer Security (TLS) verrà ritirato. Aggiorna le impostazioni dell'applicazione nell'ambiente standard di App Engine per utilizzare la versione TLS 1.2 e successive, insieme a un insieme sicuro corrispondente di suite di crittografia.
Quando selezioni la versione TLS più recente, App Engine blocca automaticamente il traffico non sicuro, senza che tu debba configurare un bilanciatore del carico delle applicazioni esterno globale per instradare le richieste alla tua applicazione.
Per eseguire l'upgrade delle applicazioni esistenti in modo che utilizzino solo TLS 1.2 e versioni successive, segui le istruzioni riportate in questa guida.
Versioni e suite di crittografia TLS supportate
La sicurezza delle connessioni TLS dipende dalla suite di crittografia negoziata, ovvero da una combinazione di algoritmi crittografici. Queste suite di crittografia sono identificate da valori IANA, come descritto nella tabella seguente:
| Versione TLS | Valore IANA | Suite di crittografia |
|---|---|---|
| TLS 1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS 1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Aggiornare le versioni TLS consentite per l'app
Puoi aggiornare la versione TLS utilizzando la Google Cloud console o gcloud CLI. Per i passaggi specifici dello strumento, fai clic sulla scheda dello strumento preferito:
Console
Nella Google Cloud console, vai alla pagina Impostazioni di App Engine:
Nella scheda Impostazioni applicazione, fai clic su Modifica impostazioni applicazione.
Nell'elenco Criterio SSL, seleziona TLS 1.2 e versioni successive (algoritmi di crittografia moderni). Questa selezione consente solo TLS versione 1.2 e successive, con suite di crittografia moderne. Se vuoi consentire versioni TLS meno sicure, come 1.0 e versioni successive, seleziona TLS 1.0 e versioni successive (obsolete). Tuttavia, ti consigliamo di aggiornare le applicazioni in modo da utilizzare la versione TLS supportata più recente.
Fai clic su Salva.
gcloud
Quando crei o aggiorni l'applicazione, utilizza il flag --ssl-policy per
specificare la versione TLS minima consentita.
Per impostare una versione TLS minima durante la creazione dell'app:
gcloud app create --ssl-policy=TLS_VERSION
Per impostare una versione TLS minima durante l'aggiornamento dell'app:
gcloud app update --ssl-policy=TLS_VERSION
Sostituisci TLS_VERSION con TLS_VERSION_1_2. Sono consentite solo le versioni TLS 1.2 e successive, con suite di crittografia moderne. Se vuoi consentire una versione TLS meno sicura, come 1.0 e versioni successive, sostituisci TLS_VERSION con TLS_VERSION_1_0. Tuttavia, ti consigliamo di aggiornare le tue applicazioni in modo che utilizzino la versione TLS supportata più recente.
Disattivare le versioni e le crittografie TLS personalizzate
Se aggiorni le impostazioni dell'applicazione in modo da utilizzare la versione TLS 1.2 e successive, App Engine blocca automaticamente tutto il traffico non sicuro che utilizza la versione TLS 1.1 e precedenti.
Se utilizzi Cloud Load Balancing e NEG serverless per instradare il traffico verso la tua applicazione App Engine, puoi disattivare una versione o una crittografia TLS definendo un criterio di sicurezza SSL. Specifica le versioni e i metodi di crittografia TLS che possono essere utilizzati dalle connessioni HTTPS o SSL.
Passaggi successivi
Per verificare e gestire i certificati SSL, consulta Proteggere i domini personalizzati con SSL.
Per consentire a Cloud Load Balancing di gestire le richieste in entrata al tuo dominio personalizzato, consulta Eseguire la migrazione del dominio personalizzato App Engine a Cloud Load Balancing.