Para aumentar la seguridad, a partir de marzo de 2025, se dejará de admitir la versión 1.1 y las anteriores de la seguridad de la capa de transporte (TLS). Actualiza la configuración de tu aplicación en el entorno flexible de App Engine para usar la versión 1.2 y las posteriores de TLS, junto con un conjunto seguro correspondiente de conjuntos de algoritmos de cifrado.
Cuando seleccionas la versión más reciente de TLS, App Engine automáticamente bloquea el tráfico no seguro, sin necesidad de configurar un balanceador de cargas de aplicaciones externo global para enrutar las solicitudes a tu aplicación.
Para actualizar tus aplicaciones existentes para que usen solo la versión 1.2 y las posteriores de TLS, sigue las instrucciones de esta guía.
Versiones de TLS y conjuntos de algoritmos de cifrado compatibles
La seguridad de las conexiones TLS depende del conjunto de algoritmos de cifrado negociado, una combinación de algoritmos criptográficos. Estos conjuntos de algoritmos de cifrado se identifican con valores IANA, como se detalla en la siguiente tabla:
| Versión de TLS | Valor IANA | Conjunto de algoritmos de cifrado |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Si necesitas usar un conjunto de algoritmos de cifrado diferente o menos restrictivo, te recomendamos que uses un balanceador de cargas de aplicaciones externo global. Para obtener más información, consulta Configura un balanceador de cargas de aplicaciones clásico con App Engine y Políticas de SSL para los protocolos SSL y TLS en la documentación de Cloud Load Balancing.
Actualiza las versiones de TLS permitidas para tu app
Puedes actualizar la versión de TLS con la Google Cloud consola o la gcloud CLI. Para conocer los pasos específicos de la herramienta, haz clic en la pestaña de la herramienta que prefieras:
Console
En la Google Cloud consola, ve a la página Configuración de App Engine:
En la pestaña Configuración de la aplicación, haz clic en Editar configuración de la aplicación.
En la lista Política de SSL, selecciona TLS 1.2+ (cifrados modernos). Esta selección solo permite la versión 1.2 y las posteriores de TLS, con conjuntos de algoritmos de cifrado modernos. Si deseas permitir versiones de TLS menos seguras, como 1.0 y versiones posteriores, selecciona TLS 1.0+ (obsoleto). Sin embargo, te recomendamos que actualices tus aplicaciones para usar la versión más reciente de TLS compatible.
Haz clic en Guardar.
gcloud
Cuando crees o actualices tu aplicación, usa la marca --ssl-policy para especificar la versión mínima de TLS permitida.
Para establecer una versión mínima de TLS mientras creas tu app, haz lo siguiente:
gcloud app create --ssl-policy=TLS_VERSION
Para establecer una versión mínima de TLS mientras actualizas tu app, haz lo siguiente:
gcloud app update --ssl-policy=TLS_VERSION
Reemplaza TLS_VERSION por TLS_VERSION_1_2. Esto solo permite la versión 1.2 y las posteriores de TLS, con conjuntos de algoritmos de cifrado modernos. Si deseas permitir una versión de TLS menos segura,
como 1.0 y versiones posteriores, reemplaza TLS_VERSION por TLS_VERSION_1_0. Sin embargo, te recomendamos que actualices tus
aplicaciones para usar la versión más reciente de TLS compatible.
Inhabilita las versiones y los cifrados personalizados de TLS
Si actualizas la configuración de tu aplicación para usar la versión 1.2 y las posteriores de TLS, App Engine bloquea automáticamente todo el tráfico no seguro que usa la versión 1.1 y las anteriores de TLS.
Si usas Cloud Load Balancing y NEG sin servidores para enrutar el tráfico a tu aplicación de App Engine, puedes inhabilitar una versión o un algoritmo de cifrado de TLS con solo definir una política de seguridad de SSL. Especifica las versiones y los cifrados de TLS que pueden usar las conexiones HTTPS o SSL.
¿Qué sigue?
Para verificar y administrar certificados SSL, consulta Protege dominios personalizados con SSL.
Para habilitar Cloud Load Balancing para administrar las solicitudes entrantes a tu dominio personalizado, consulta Migra el dominio personalizado de App Engine a Cloud Load Balancing.