כדי לשפר את האבטחה, החל ממרץ 2025 תופסק התמיכה בגרסה 1.1 של Transport Layer Security (TLS) ובגרסאות קודמות. צריך לעדכן את הגדרות האפליקציה בסביבה הרגילה של App Engine כדי להשתמש בגרסה 1.2 של TLS ומעלה, יחד עם סט תואם ומאובטח של אלגוריתמים להצפנה.
כשבוחרים את הגרסה האחרונה של TLS, App Engine חוסם אוטומטית תעבורה לא מאובטחת, בלי שצריך להגדיר מאזן עומסים חיצוני גלובלי של אפליקציות כדי לנתב בקשות לאפליקציה.
כדי לשדרג את האפליקציות הקיימות כך שישתמשו רק ב-TLS גרסה 1.2 ואילך, צריך לפעול לפי ההוראות במדריך הזה.
גרסאות TLS נתמכות וסטים של אלגוריתמים להצפנה (cipher suite)
רמת האבטחה של חיבורי TLS תלויה בסטים של האלגוריתמים להצפנה (cipher suite) שנקבעו, שהם שילוב של אלגוריתמים קריפטוגרפיים. חבילות ההצפנה האלה מזוהות לפי ערכי IANA, כפי שמפורט בטבלה הבאה:
| גרסת TLS | ערך IANA | סט אלגוריתמים להצפנה (cipher suite) |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
אם אתם צריכים להשתמש בסט אלגוריתמים להצפנה (cipher suite) אחר או בסט אלגוריתמים להצפנה (cipher suite) פחות מגביל, מומלץ להשתמש במאזן עומסים חיצוני גלובלי של אפליקציות (ALB). מידע נוסף זמין במאמרים בנושא הגדרת מאזן עומסים קלאסי של אפליקציות באמצעות App Engine ומדיניות SSL לפרוטוקולים SSL ו-TLS בתיעוד של Cloud Load Balancing.
עדכון גרסאות ה-TLS שמותרות לאפליקציה
אפשר לעדכן את גרסת ה-TLS באמצעות מסוף Google Cloud או ה-CLI של gcloud. כדי לראות את השלבים הספציפיים לכל כלי, לוחצים על הכרטיסייה של הכלי המועדף:
המסוף
במסוף Google Cloud , עוברים לדף Settings של App Engine:
בכרטיסייה הגדרות האפליקציה, לוחצים על עריכת הגדרות האפליקציה.
מהרשימה מדיניות SSL בוחרים באפשרות TLS 1.2+ (הצפנות מודרניות). הבחירה הזו מאפשרת רק TLS בגרסה 1.2 ומעלה, עם חבילות צופן מודרניות. אם רוצים לאפשר גרסאות פחות מאובטחות של TLS, כמו 1.0 ואילך, בוחרים באפשרות TLS 1.0+ (מיושן). עם זאת, מומלץ לעדכן את האפליקציות כדי להשתמש בגרסה העדכנית ביותר של TLS שנתמכת.
לוחצים על Save.
gcloud
כשיוצרים או מעדכנים את האפליקציה, משתמשים בדגל --ssl-policy כדי לציין את גרסת ה-TLS המינימלית המותרת.
כדי להגדיר גרסת TLS מינימלית בזמן יצירת האפליקציה:
gcloud app create --ssl-policy=TLS_VERSION
כדי להגדיר גרסת TLS מינימלית בזמן עדכון האפליקציה:
gcloud app update --ssl-policy=TLS_VERSION
מחליפים את TLS_VERSION ב-TLS_VERSION_1_2. ההגדרה הזו מאפשרת רק TLS בגרסה 1.2 ומעלה, עם חבילות הצפנה מודרניות. אם רוצים לאפשר גרסה פחות מאובטחת של TLS, כמו 1.0 ומעלה, מחליפים את TLS_VERSION ב-TLS_VERSION_1_0. עם זאת, מומלץ לעדכן את האפליקציות כך שישתמשו בגרסה העדכנית ביותר של TLS שנתמכת.
השבתה של גרסאות וצפנים מותאמים אישית של TLS
אם תעדכנו את הגדרות האפליקציה לשימוש בגרסה 1.2 של TLS ומעלה, App Engine יחסום אוטומטית את כל התעבורה הלא מאובטחת באמצעות גרסה 1.1 של TLS ומטה.
אם אתם משתמשים בCloud Load Balancing וב-NEGs ללא שרתים כדי לנתב תנועה לאפליקציית App Engine, אתם יכולים להשבית גרסת TLS או הצפנה על ידי הגדרת מדיניות אבטחת SSL. מציינים את גרסאות ה-TLS וההצפנות שחיבורי HTTPS או SSL יכולים להשתמש בהן.
המאמרים הבאים
כדי לאמת ולנהל אישורי SSL, אפשר לעיין במאמר בנושא אבטחת דומיינים מותאמים אישית באמצעות SSL.
כדי לאפשר ל-Cloud Load Balancing לנהל בקשות נכנסות לדומיין המותאם אישית, אפשר לעיין במאמר בנושא העברת דומיין מותאם אישית של App Engine ל-Cloud Load Balancing.