Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

App mit TLS-Mindestversion sichern (flexible Umgebung)

Zur Erhöhung der Sicherheit wird die Unterstützung für Transport Layer Security (TLS) Version 1.1 und früher ab März 2025 eingestellt. Aktualisieren Sie die Anwendungseinstellungen in der flexiblen App Engine-Umgebung, um TLS Version 1.2 und höher sowie eine entsprechende sichere Gruppe von Chiffresammlungen zu verwenden.

Wenn Sie die neueste TLS-Version auswählen, blockiert App Engine automatisch unsicheren Traffic, ohne dass Sie einen globalen externen Application Load Balancer konfigurieren müssen, um Anfragen an Ihre Anwendung weiterzuleiten.

Eine Anleitung zum Upgrade Ihrer vorhandenen Anwendungen, damit nur TLS Version 1.2 und höher verwendet wird, finden Sie in diesem Leitfaden.

Hinweis: Wenn Sie Ihre Anwendungseinstellungen so aktualisieren, dass TLS Version 1.2 und höher erzwungen wird, lehnt App Engine automatisch eingehende Anfragen ab, bei denen versucht wird, ältere, weniger sichere TLS-Versionen (1.1 und früher) zu verwenden. Vor März 2026 führt diese Ablehnung nach einem erfolgreichen TLS-Handshake zu einem Fehler vom Typ 400 Bad Request - The request was malformed. Das bedeutet, dass die Verbindung hergestellt wurde, die Anfrage selbst aber abgelehnt wird. Externe SSL-Prüfseiten überprüfen möglicherweise nur einen erfolgreichen TLS-Handshake und deuten fälschlicherweise an, dass TLS Version 1.1 und früher weiterhin unterstützt werden. Nach März 2026 sorgt App Engine für eine strengere Sicherheitskonformität, indem der TLS-Handshake selbst für Verbindungen mit TLS Version 1.1 und früher verhindert wird.

Unterstützte TLS-Versionen und Chiffresammlungen

Die Sicherheit von TLS-Verbindungen hängt von der ausgehandelten Chiffresammlung ab, einer Kombination aus kryptografischen Algorithmen. Diese Chiffresammlungen werden durch IANA-Werte identifiziert, wie in der folgenden Tabelle beschrieben:

TLS-Version	IANA-Wert	Cipher Suite
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Wenn Sie eine andere oder weniger restriktive Chiffresammlung verwenden müssen, empfehlen wir Ihnen, einen globalen externen Application Load Balancer zu verwenden. Weitere Informationen finden Sie unter Classic Application Load Balancer mit App Engine einrichten und SSL-Richtlinien für SSL- und TLS-Protokolle in der Cloud Load Balancing-Dokumentation.

Zulässige TLS-Versionen für Ihre Anwendung aktualisieren

Sie können die TLS-Version über die Google Cloud console oder die gcloud CLI aktualisieren. Klicken Sie für toolspezifische Schritte auf den Tab für das gewünschte Tool:

Console

Rufen Sie in der Google Cloud console die Seite Einstellungen von App Engine auf:

Einstellungen aufrufen
Klicken Sie auf dem Tab Anwendungseinstellungen auf Anwendungseinstellungen bearbeiten.
Wählen Sie in der Liste SSL-Richtlinie die Option TLS 1.2+ (moderne Chiffren) aus. Bei dieser Auswahl sind nur TLS Version 1.2 und höher mit modernen Chiffresammlungen zulässig. Wenn Sie weniger sichere TLS-Versionen wie 1.0 und höher zulassen möchten, wählen Sie TLS 1.0+ (veraltet) aus. Wir empfehlen jedoch, Ihre Anwendungen so zu aktualisieren, dass die neueste unterstützte TLS-Version verwendet wird.
Klicken Sie auf Speichern.

gcloud

Wenn Sie Ihre Anwendung erstellen oder aktualisieren, geben Sie mit dem Flag --ssl-policy die zulässige Mindest-TLS-Version an.

So legen Sie beim Erstellen Ihrer Anwendung eine Mindest-TLS-Version fest:

gcloud app create --ssl-policy=TLS_VERSION

So legen Sie beim Aktualisieren Ihrer Anwendung eine Mindest-TLS-Version fest:

gcloud app update --ssl-policy=TLS_VERSION

Ersetzen Sie TLS_VERSION durch TLS_VERSION_1_2. Bei dieser Auswahl sind nur TLS Version 1.2 und höher mit modernen Chiffresammlungen zulässig. Wenn Sie weniger sichere TLS-Versionen zulassen möchten, wie 1.0 und höher, ersetzen Sie TLS_VERSION durch TLS_VERSION_1_0. Wir empfehlen jedoch, Ihre Anwendungen so zu aktualisieren, dass die neueste unterstützte TLS-Version verwendet wird.

Benutzerdefinierte TLS-Versionen und -Chiffren deaktivieren

Wenn Sie Ihre Anwendungseinstellungen so aktualisieren, dass TLS Version 1.2 und höher verwendet wird, blockiert App Engine automatisch den gesamten unsicheren Traffic mit TLS Version 1.1 und früher.

Wenn Sie Cloud Load Balancing und serverlose NEGs verwenden, um Traffic an Ihre App Engine-Anwendung weiterzuleiten, können Sie eine TLS Version oder Chiffre deaktivieren, indem Sie eine SSL-Sicherheitsrichtliniedefinieren. Geben Sie die TLS-Versionen und -Chiffren an, die für HTTPS- oder SSL-Verbindungen verwendet werden können.

Nächste Schritte

Informationen zum Prüfen und Verwalten von SSL-Zertifikaten finden Sie unter Benutzerdefinierte Domains mit SSL sichern.
Informationen zum Verwalten eingehender Anfragen an Ihre benutzerdefinierte Domain durch Cloud Load Balancing finden Sie unter Benutzerdefinierte App Engine-Domain zu Cloud Load Balancing migrieren.

App mit TLS-Mindestversion sichern (flexible Umgebung) Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.