כדי לשפר את האבטחה, החל ממרץ 2025, תופסק התמיכה בגרסה 1.1 של Transport Layer Security (TLS) ובגרסאות קודמות. צריך לעדכן את הגדרות האפליקציה בסביבה הגמישה של App Engine כדי להשתמש בגרסה 1.2 של TLS ומעלה, יחד עם סט תואם של אלגוריתמים להצפנה.
כשבוחרים את הגרסה האחרונה של TLS, App Engine חוסם אוטומטית תעבורה לא מאובטחת, בלי שצריך להגדיר מאזן עומסים חיצוני גלובלי של אפליקציות כדי לנתב בקשות לאפליקציה.
כדי לשדרג את האפליקציות הקיימות כך שישתמשו רק בגרסה 1.2 של TLS ואילך, צריך לפעול לפי ההוראות במדריך הזה.
גרסאות TLS נתמכות וסטים של אלגוריתמים להצפנה (cipher suite)
רמת האבטחה של חיבורי TLS תלויה בסטים של האלגוריתמים להצפנה (cipher suite) שנקבעו, שהם שילוב של אלגוריתמים קריפטוגרפיים. חבילות ההצפנה האלה מזוהות לפי ערכי IANA, כמו שמפורט בטבלה הבאה:
| גרסת TLS | ערך IANA | סט אלגוריתמים להצפנה (cipher suite) |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
אם אתם צריכים להשתמש בסט אלגוריתמים להצפנה (cipher suite) אחר או בסט אלגוריתמים להצפנה (cipher suite) פחות מגביל, מומלץ להשתמש במאזן עומסים גלובלי חיצוני של אפליקציות. מידע נוסף זמין במאמרים בנושא הגדרה של מאזן עומסים קלאסי של אפליקציות באמצעות App Engine ומדיניות SSL לפרוטוקולי SSL ו-TLS במסמכי Cloud Load Balancing.
עדכון גרסאות ה-TLS שמותרות לשימוש באפליקציה
אפשר לעדכן את גרסת ה-TLS באמצעות מסוף Google Cloud או ה-CLI של gcloud. כדי לראות את השלבים הספציפיים לכלי, לוחצים על הכרטיסייה של הכלי המועדף:
המסוף
במסוף Google Cloud , נכנסים לדף Settings של App Engine:
בכרטיסייה הגדרות האפליקציה, לוחצים על עריכת הגדרות האפליקציה.
ברשימה מדיניות SSL בוחרים באפשרות TLS 1.2+ (הצפנות מודרניות). הבחירה הזו מאפשרת רק TLS בגרסה 1.2 ואילך, עם חבילות צופן מודרניות. אם רוצים לאפשר גרסאות פחות מאובטחות של TLS, כמו 1.0 ואילך, בוחרים באפשרות TLS 1.0+ (מיושן). עם זאת, מומלץ לעדכן את האפליקציות כדי להשתמש בגרסה העדכנית ביותר של TLS שנתמכת.
לוחצים על Save.
gcloud
כשיוצרים או מעדכנים את האפליקציה, משתמשים בדגל --ssl-policy כדי לציין את גרסת ה-TLS המינימלית המותרת.
כדי להגדיר גרסת TLS מינימלית בזמן יצירת האפליקציה:
gcloud app create --ssl-policy=TLS_VERSION
כדי להגדיר גרסת TLS מינימלית בזמן עדכון האפליקציה:
gcloud app update --ssl-policy=TLS_VERSION
מחליפים את TLS_VERSION ב-TLS_VERSION_1_2. ההגדרה הזו מאפשרת רק TLS בגרסה 1.2 ומעלה, עם חבילות הצפנה מודרניות. אם רוצים לאפשר גרסה פחות מאובטחת של TLS, כמו 1.0 ומעלה, מחליפים את TLS_VERSION ב-TLS_VERSION_1_0. עם זאת, מומלץ לעדכן את האפליקציות כך שישתמשו בגרסה העדכנית ביותר של TLS שנתמכת.
השבתה של גרסאות וצפנים מותאמים אישית של TLS
אם מעדכנים את הגדרות האפליקציה לשימוש ב-TLS גרסה 1.2 ואילך, App Engine חוסם אוטומטית את כל התעבורה הלא מאובטחת באמצעות TLS גרסה 1.1 וגרסאות קודמות.
אם אתם משתמשים בCloud Load Balancing וב-NEGs ללא שרתים כדי לנתב תנועה לאפליקציית App Engine, אתם יכולים להשבית גרסת TLS או צופן על ידי הגדרת מדיניות אבטחת SSL. מציינים את גרסאות ה-TLS וההצפנות שחיבורי HTTPS או SSL יכולים להשתמש בהן.
המאמרים הבאים
כדי לאמת ולנהל אישורי SSL, אפשר לעיין במאמר אבטחת דומיינים מותאמים אישית באמצעות SSL.
כדי לאפשר ל-Cloud Load Balancing לנהל בקשות נכנסות לדומיין המותאם אישית, אפשר לעיין במאמר בנושא העברת דומיין מותאם אישית של App Engine ל-Cloud Load Balancing.