Untuk meningkatkan keamanan, mulai Maret 2025, dukungan untuk Transport Layer Security (TLS) versi 1.1 dan yang lebih lama akan dihentikan. Perbarui setelan aplikasi Anda di lingkungan fleksibel App Engine untuk menggunakan TLS versi 1.2 dan yang lebih baru, beserta cipher suite aman yang sesuai.
Saat Anda memilih versi TLS terbaru, App Engine akan otomatis memblokir traffic yang tidak aman, tanpa mengharuskan Anda untuk mengonfigurasi Load Balancer Aplikasi eksternal global untuk merutekan permintaan ke aplikasi Anda.
Untuk mengupgrade aplikasi yang ada agar menggunakan hanya TLS versi 1.2 dan yang lebih baru, ikuti petunjuk dalam panduan ini.
Cipher suite dan versi TLS yang didukung
Keamanan koneksi TLS bergantung pada cipher suite yang dinegosiasikan, yaitu kombinasi algoritma kriptografi. Cipher suite ini diidentifikasi oleh nilai IANA, seperti yang dijelaskan dalam tabel berikut:
| Versi TLS | Nilai IANA | Cipher suite |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Jika Anda perlu menggunakan cipher suite yang berbeda atau yang kurang ketat, sebaiknya gunakan Load Balancer Aplikasi eksternal global. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan Load Balancer Aplikasi klasik dengan App Engine dan kebijakan SSL untuk protokol SSL dan TLS dalam dokumentasi Cloud Load Balancing.
Memperbarui versi TLS yang diizinkan untuk aplikasi Anda
Anda dapat memperbarui versi TLS menggunakan Google Cloud konsol atau gcloud CLI. Untuk mengetahui langkah-langkah khusus alat, klik tab untuk alat pilihan Anda:
Konsol
Di Google Cloud konsol, buka halaman Setelan App Engine:
Di tab Setelan aplikasi, klik Edit setelan aplikasi.
Dari daftar Kebijakan SSL, pilih TLS 1.2+ (Cipher modern). Pilihan ini hanya mengizinkan TLS versi 1.2 dan yang lebih baru, dengan cipher suite modern. Jika Anda ingin mengizinkan TLS versi yang kurang aman, seperti 1.0 dan yang lebih baru, pilih TLS 1.0+ (Tidak digunakan lagi). Namun, sebaiknya perbarui aplikasi Anda untuk menggunakan versi TLS terbaru yang didukung.
Klik Simpan.
gcloud
Saat membuat atau memperbarui aplikasi, gunakan flag --ssl-policy untuk menentukan versi TLS minimum yang diizinkan.
Untuk menetapkan versi TLS minimum saat membuat aplikasi:
gcloud app create --ssl-policy=TLS_VERSION
Untuk menetapkan versi TLS minimum saat memperbarui aplikasi:
gcloud app update --ssl-policy=TLS_VERSION
Ganti TLS_VERSION dengan TLS_VERSION_1_2. Tindakan ini hanya mengizinkan TLS versi 1.2 dan yang lebih baru, dengan cipher suite modern. Jika Anda ingin mengizinkan TLS versi yang kurang aman,
seperti 1.0 dan yang lebih baru, ganti TLS_VERSION dengan TLS_VERSION_1_0. Namun, sebaiknya perbarui
aplikasi Anda untuk menggunakan versi TLS terbaru yang didukung.
Menonaktifkan cipher dan versi TLS kustom
Jika Anda memperbarui setelan aplikasi untuk menggunakan TLS versi 1.2 dan yang lebih baru, App Engine akan otomatis memblokir semua traffic yang tidak aman menggunakan TLS versi 1.1 dan yang lebih lama.
Jika Anda menggunakan Cloud Load Balancing dan NEGS serverless untuk merutekan traffic ke aplikasi App Engine, Anda dapat menonaktifkan versi atau cipher TLS dengan menetapkan kebijakan keamanan SSL. Tentukan cipher dan versi TLS yang dapat digunakan oleh koneksi HTTPS atau SSL.
Langkah berikutnya
Untuk memverifikasi dan mengelola sertifikat SSL, lihat Mengamankan domain kustom dengan SSL.
Untuk mengaktifkan Cloud Load Balancing agar dapat mengelola permintaan masuk ke domain kustom Anda, lihat Memigrasikan domain kustom App Engine ke Cloud Load Balancing.