Per aumentare la sicurezza, a partire da marzo 2025 il supporto per Transport Layer Security (TLS) versione 1.1 e precedenti è ritirato. Aggiorna le impostazioni dell'applicazione nell'ambiente flessibile di App Engine per utilizzare TLS versione 1.2 e successive, insieme a un insieme sicuro di suite di cifrari corrispondenti.
Quando selezioni la versione TLS più recente, App Engine blocca automaticamente il traffico non sicuro, senza richiedere la configurazione di un bilanciatore del carico delle applicazioni esterno globale per instradare le richieste alla tua applicazione.
Per eseguire l'upgrade delle applicazioni esistenti in modo che utilizzino solo TLS versione 1.2 e successive, segui le istruzioni riportate in questa guida.
Versioni TLS e suite di cifrari supportate
La sicurezza delle connessioni TLS dipende dalla suite di cifrari negoziata, una combinazione di algoritmi di crittografia. Queste suite di cifrari sono identificate dai valori IANA, come descritto nella tabella seguente:
| Versione TLS | Valore IANA | Suite di cifrari |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Se devi utilizzare una suite di cifrari diversa o meno restrittiva, ti consigliamo di utilizzare un bilanciatore del carico delle applicazioni esterno globale. Per ulteriori informazioni, consulta Configurare un bilanciatore del carico delle applicazioni classico con App Engine e policy SSL per i protocolli SSL e TLS nella documentazione di Cloud Load Balancing.
Aggiornare le versioni TLS consentite per l'app
Puoi aggiornare la versione TLS utilizzando la Google Cloud console o la gcloud CLI. Per i passaggi specifici dello strumento, fai clic sulla scheda dello strumento che preferisci:
Console
Nella Google Cloud console, vai alla pagina Impostazioni di App Engine:
Nella scheda Impostazioni applicazione, fai clic su Modifica impostazioni applicazione.
Nell'elenco Policy SSL, seleziona TLS 1.2+ (cifrari moderni). Questa selezione consente solo TLS versione 1.2 e successive, con suite di cifrari moderne. Se vuoi consentire versioni TLS meno sicure, ad esempio 1.0 e successive, seleziona TLS 1.0+ (obsoleto). Tuttavia, ti consigliamo di aggiornare le applicazioni in modo che utilizzino la versione TLS più recente supportata.
Fai clic su Salva.
gcloud
Quando crei o aggiorni l'applicazione, utilizza il flag --ssl-policy per specificare la versione TLS minima consentita.
Per impostare una versione TLS minima durante la creazione dell'app:
gcloud app create --ssl-policy=TLS_VERSION
Per impostare una versione TLS minima durante l'aggiornamento dell'app:
gcloud app update --ssl-policy=TLS_VERSION
Sostituisci TLS_VERSION con TLS_VERSION_1_2. In questo modo sono consentite solo TLS versione 1.2 e successive, con suite di cifrari moderne. Se vuoi consentire una versione TLS meno sicura,
ad esempio 1.0 e successive, sostituisci TLS_VERSION con TLS_VERSION_1_0. Tuttavia, ti consigliamo di aggiornare le tue
applicazioni in modo che utilizzino la versione TLS più recente supportata.
Disattivare le versioni e i cifrari TLS personalizzati
Se aggiorni le impostazioni dell'applicazione in modo che utilizzino TLS versione 1.2 e successive, App Engine blocca automaticamente tutto il traffico non sicuro che utilizza TLS versione 1.1 e precedenti.
Se utilizzi Cloud Load Balancing e NEG serverless per instradare il traffico alla tua applicazione App Engine, puoi disattivare una versione TLS o un cifrario definendo una policy di sicurezza SSL. Specifica le versioni e i cifrari TLS che le connessioni HTTPS o SSL possono utilizzare.
Passaggi successivi
Per verificare e gestire i certificati SSL, consulta Proteggere i domini personalizzati con SSL.
Per consentire a Cloud Load Balancing di gestire le richieste in entrata al tuo dominio personalizzato, consulta Eseguire la migrazione del dominio personalizzato di App Engine a Cloud Load Balancing.