Freigeben über


Übersicht über Azure App Service TLS

Hinweis

Kunden haben möglicherweise Kenntnis von der Einstellungsbenachrichtigung von TLS 1.0 und 1.1 für Interaktionen mit Azure-Diensten. Diese Einstellung wirkt sich nicht auf Anwendungen aus, die auf App Service oder Azure Functions ausgeführt werden. Anwendungen in App Service oder Azure Functions, die für die Annahme von TLS 1.0 oder TLS 1.1 für eingehende Anforderungen konfiguriert sind, werden weiterhin ohne Auswirkungen ausgeführt.

Was bewirkt TLS in App Service?

Transport Layer Security (TLS) ist ein weit verbreitetes Sicherheitsprotokoll, das für sichere Verbindungen und Kommunikation zwischen Servern und Clients entwickelt wurde. Mit App Service können Kunden TLS/SSL-Zertifikate verwenden, um eingehende Anforderungen an ihre Web-Apps zu sichern. App Service unterstützt derzeit verschiedene Sets an TLS-Features für Kunden, um ihre Web-Apps zu sichern.

Tipp

Sie können Azure Copilot auch die folgenden Fragen stellen:

  • Welche Versionen von TLS werden in App Service unterstützt?
  • Was sind die Vorteile der Verwendung von TLS 1.3 im Vergleich zu früheren Versionen?
  • Wie kann ich die Reihenfolge der Verschlüsselungssammlungen für meine App Service-Umgebung ändern?

Um Azure Copilot zu finden, wählen Sie auf der Symbolleiste im Azure-Portal die Option Copilot aus.

Unterstützte TLS-Version für App Service?

Für eingehende Anforderungen an Ihre Web-App unterstützt App Service TLS-Versionen 1.0, 1.1, 1.2 und 1.3.

Festlegen der TLS-Mindestversion

Führen Sie die folgenden Schritte aus, um die TLS-Mindestversion Ihrer App Service-Ressource zu ändern:

  1. Navigieren Sie im Azure-Portal zu Ihrer App.
  2. Wählen Sie im linken Menü die Option Konfiguration und dann die Registerkarte Allgemeine Einstellungen aus.
  3. Wählen Sie für TLS-Mindestversion für eingehenden Datenverkehr mithilfe der Dropdownliste die gewünschte Version aus.
  4. Klicken Sie zum Speichern der Änderungen auf Speichern.

TLS-Mindestversion mit Azure Policy

Sie können Azure Policy verwenden, um Ihre Ressourcen im Hinblick auf die TLS-Mindestversion zu überwachen. Sie können auf App Service-Apps sollten die neueste TLS-Versionsrichtliniendefinition verwenden verweisen und die Werte in die gewünschte TLS-Mindestversion ändern. Ähnliche Richtliniendefinitionen für andere App Service-Ressourcen finden Sie unter Liste der integrierten Richtliniendefinitionen – Azure Policy für App Service.

Mindest-TLS-Version und SCM-Mindest-TLS-Version

App Service ermöglicht Ihnen außerdem das Festlegen der Mindest-TLS-Version für eingehende Anforderungen an Ihre Web-App und die SCM-Website. Standardmäßig wird die Mindest-TLS-Version für eingehende Anforderungen an Ihre Web-App und SCM auf 1.2 sowohl im Portal als auch in der API festgelegt.

TLS 1.3

Bei TLS 1.3 ist eine Einstellung Minimale TLS-Verschlüsselungssammlung verfügbar. Diese umfasst zwei Verschlüsselungssammlungen oben in der Reihenfolge der Verschlüsselungssammlungen:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

TLS 1.0 und 1.1

TLS 1.0 und 1.1 gelten als Legacyprotokolle und nicht mehr als sicher. Es wird in der Regel empfohlen, dass Kunden TLS 1.2 oder höher als mindeste TLS-Version verwenden. Beim Erstellen einer Web-App ist die standardmäßige Mindest-TLS-Version TLS 1.2.

Um die Abwärtskompatibilität für TLS 1.0 und TLS 1.1 sicherzustellen, unterstützt App Service weiterhin TLS 1.0 und 1.1 für eingehende Anforderungen an Ihre Web-App. Da jedoch die standardmäßige Mindest-TLS-Version auf TLS 1.2 festgelegt ist, müssen Sie die Konfigurationen für die Mindest-TLS-Version in Ihrer Web-App auf entweder TLS 1.0 oder 1.1 aktualisieren, damit die Anforderungen nicht abgelehnt werden.

Wichtig

Eingehende Anforderungen an Web-Apps und eingehende Anforderungen an Azure werden unterschiedlich behandelt. App Service unterstützt weiterhin TLS 1.0 und 1.1 für eingehende Anforderungen an die Web-Apps. Für eingehende Anforderungen direkt an die Azure-Steuerungsebene (z. B. über ARM- oder API-Aufrufe) wird die Verwendung von TLS 1.0 oder 1.1 nicht empfohlen.

Minimale TLS-Verschlüsselungssammlung

Hinweis

Die minimale TLS-Verschlüsselungssammlung wird für Basic-SKUs und höhere SKUs in einer mehrinstanzenfähige App Service-Bereitstellung unterstützt.

Die minimale TLS-Verschlüsselungssammlung enthält eine feste Liste von Verschlüsselungssammlungen mit einer optimalen Prioritätsreihenfolge, die nicht geändert werden kann. Es wird nicht empfohlen, die Verschlüsselungssammlungen neu anzuordnen oder ihre Priorität zu ändern, da dadurch eine schwächere Verschlüsselung für Ihre Web-Apps verwendet werden könnte. Sie können dieser Liste auch keine neuen oder anderen Verschlüsselungssammlungen hinzufügen. Wenn Sie eine minimale TLS-Verschlüsselungssammlung auswählen, deaktiviert das System automatisch alle weniger sicheren Verschlüsselungssammlungen für Ihre Web-App. Es ist nicht möglich, selektiv nur einige weniger leistungsstarke Verschlüsselungssammlungen zu deaktivieren.

Was sind Verschlüsselungssammlungen und wie funktionieren sie in App Service?

Eine Verschlüsselungssammlung ist eine Reihe von Anweisungen, die Algorithmen und Protokolle zum Schützen der Netzwerkverbindungen zwischen Clients und Servern enthalten. Standardmäßig wählt das Betriebssystem des Front-Ends die sicherste Verschlüsselungssammlung aus, die sowohl von App Service als auch vom Client unterstützt wird. Wenn der Client jedoch nur schwache Verschlüsselungssammlungen unterstützt, wählt das Betriebssystem des Front-Ends eine schwache Verschlüsselungssammlung aus, die von beiden unterstützt wird. Wenn für Ihre Organisation Einschränkungen hinsichtlich nicht zulässiger Verschlüsselungssammlungen gelten, können Sie die Eigenschaft für die minimale TLS-Verschlüsselungssammlung Ihrer Web-App aktualisieren, um sicherzustellen, dass die schwächeren Verschlüsselungssammlungen für die Web-App deaktiviert werden.

App Service-Umgebung (ASE) V3 mit der Clustereinstellung FrontEndSSLCipherSuiteOrder

Für App Service-Umgebungen mit der Clustereinstellung FrontEndSSLCipherSuiteOrder müssen Sie Ihre Einstellungen aktualisieren, um zwei TLS 1.3-Verschlüsselungssammlungen einzuschließen (TLS_AES_256_GCM_SHA384 und TLS_AES_128_GCM_SHA256). Nach der Aktualisierung starten Sie das Front-End neu, damit die Änderung wirksam wird. Wie in der Dokumentation erwähnt, müssen Sie die beiden erforderlichen Verschlüsselungssammlungen trotzdem hinzufügen.

End-to-End-TLS-Verschlüsselung

End-to-End-TLS-Verschlüsselung (E2E) ist in Premium App Service-Plänen (und älteren Standard-App Service-Plänen) verfügbar. Clusterinterner Front-End-Datenverkehr zwischen App Service-Front-Ends und den Workern, die Anwendungsworkloads ausführen, kann jetzt verschlüsselt werden.

Nächste Schritte