Para aumentar a segurança, a partir de março de 2025, o suporte à versão 1.1 e anteriores do Transport Layer Security (TLS) será descontinuado. Atualize as configurações do aplicativo no ambiente flexível do App Engine para usar a versão 1.2 e mais recentes do TLS, além de um conjunto seguro correspondente de pacotes de criptografia.
Ao selecionar a versão mais recente do TLS, o App Engine bloqueia automaticamente o tráfego não seguro, sem exigir que você configure um balanceador de carga de aplicativo externo global para rotear solicitações ao aplicativo.
Para fazer upgrade dos aplicativos atuais para usar apenas a versão 1.2 e mais recentes do TLS, siga as instruções neste guia.
Versões e pacotes de criptografia compatíveis do TLS
A segurança das conexões TLS depende do pacote de criptografia negociado, uma combinação de algoritmos criptográficos. Esses pacotes de criptografia são identificados por valores de IANA, conforme detalhado na tabela a seguir:
| Versão TLS | Valor de IANA | Pacote de criptografia |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Se você precisar usar um pacote de criptografia diferente ou menos restritivo, recomendamos usar um balanceador de carga de aplicativo externo global. Para mais informações, consulte Configurar um balanceador de carga de aplicativo clássico com o App Engine e Políticas de SSL para protocolos SSL e TLS na documentação do Cloud Load Balancing.
Atualizar as versões do TLS permitidas para seu app
É possível atualizar a versão do TLS usando o Google Cloud console ou a CLI gcloud. Para etapas específicas da ferramenta, clique na guia da ferramenta de sua preferência:
Console
No Google Cloud console, acesse a página Configurações do App Engine:
Na guia Configurações do aplicativo, clique em Editar configurações do aplicativo.
Na lista Política de SSL, selecione TLS 1.2+ (criptografias modernas). Essa seleção permite apenas a versão 1.2 e mais recentes do TLS, com pacotes de criptografia modernos. Se você quiser permitir versões menos seguras do TLS, como 1.0 e mais recentes, selecione TLS 1.0+ (obsoleto). No entanto, recomendamos que você atualize seus aplicativos para usar a versão mais recente do TLS compatível.
Clique em Salvar.
gcloud
Ao criar ou atualizar o aplicativo, use a flag --ssl-policy para especificar a versão mínima permitida do TLS.
Para definir uma versão mínima do TLS ao criar o app:
gcloud app create --ssl-policy=TLS_VERSION
Para definir uma versão mínima do TLS ao atualizar o app:
gcloud app update --ssl-policy=TLS_VERSION
Substitua TLS_VERSION por TLS_VERSION_1_2. Isso permite apenas a versão 1.2 e mais recentes do TLS, com pacotes de criptografia modernos. Se você quiser permitir uma versão menos segura do TLS,
como 1.0 e mais recentes, substitua TLS_VERSION por TLS_VERSION_1_0. No entanto, recomendamos que você atualize seus
aplicativos para usar a versão mais recente do TLS compatível.
Desativar versões e criptografias personalizadas do TLS
Se você atualizar as configurações do aplicativo para usar a versão 1.2 e mais recentes do TLS, o App Engine vai bloquear automaticamente todo o tráfego não seguro usando a versão 1.1 e anteriores do TLS.
Se você usar Cloud Load Balancing e NEGs sem servidor para rotear o tráfego para seu aplicativo do App Engine, poderá desativar uma versão ou criptografia TLS definindo uma política de segurança SSL. Especifique as versões e criptografias do TLS que as conexões HTTPS ou SSL podem usar.
A seguir
Para verificar e gerenciar certificados SSL, consulte Proteger domínios personalizados com SSL.
Para permitir que o Cloud Load Balancing gerencie as solicitações recebidas para seu domínio personalizado, consulte Migrar o domínio personalizado do App Engine para o Cloud Load Balancing.