Share via

Uw Toepassingsgateway beheren bij het afschaffen van TLS 1.0 en 1.1

Op 31 augustus 2025 biedt Azure Application Gateway geen ondersteuning meer voor TLS-versies (Transport Layer Security) 1.0 en 1.1. Deze wijziging is afgestemd op de buitengebruikstelling van deze TLS-versies van Azure om de beveiliging te verbeteren. Als eigenaar van een Application Gateway-resource moet u zowel de FRONT-endclients als TLS-verbindingen van back-endservers controleren die deze oudere versies kunnen gebruiken.

Front-end TLS-verbindingen

Met afschaffing van TLS-versies 1.0 en 1.1 worden de oudere vooraf gedefinieerde TLS-beleidsregels en bepaalde coderingssuites uit het aangepaste TLS-beleid verwijderd. Afhankelijk van de configuratie van uw gateway moet u de beleidskoppeling controleren voor zowel algemeen TLS-beleid als het specifieke TLS-beleid voor listener.

Algemeen TLS-beleid - PortalweergaveEen diagram met algemene TLS-beleidsconfiguratie in de portal.

Listenerspecifiek TLS-beleid - PortalweergaveEen diagram met de configuratie van listenerspecifiek TLS-beleid in de portal.

Vooraf gedefinieerd beleid voor V2-SKU's

De vooraf gedefinieerde beleidsregels 20150501 en 20170401 die TLS v1.0 en 1.1 ondersteunen, worden stopgezet en kunnen na augustus 2025 niet meer worden gekoppeld aan een Application Gateway-resource. Overgang naar een van de aanbevolen TLS-beleidsregels, 20220101 of 20220101S wordt aangeraden. U kunt ook het beleid 20170401S gebruiken als specifieke coderingssuites vereist zijn.

Een diagram met vooraf gedefinieerd beleid voor V2-SKU's.

Aangepast beleid voor V2-SKU's

Azure Application Gateway V2 SKU biedt twee soorten aangepaste beleidsregels: Aangepast en CustomV2. De buitengebruikstelling van deze TLS-versies is alleen van invloed op het "Aangepaste" beleid. Het nieuwere 'CustomV2'-beleid wordt geleverd met TLS v1.3 en ook v1.2. Na augustus 2025 ondersteunt het oudere aangepaste beleid alleen TLS v1.2 en worden de volgende coderingssuites niet ondersteund.

Niet ondersteunde coderingssuites
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Vooraf gedefinieerd beleid voor V1-SKU's

De V1-SKU ondersteunt alleen het 20170401S-beleid nadat het oudere beleid met TLS-versies 1.0 en 1.1 is stopgezet. De nieuwere 20220101 of 20220101S-beleids zijn niet beschikbaar voor de binnenkort buiten gebruik gestelde V1-SKU.

Een diagram met vooraf gedefinieerd beleid voor V1-SKU's.

Aangepast beleid voor V1-SKU's

Application Gateway V1 SKU ondersteunt alleen het oudere "Custom" beleid. Na augustus 2025 biedt dit oudere aangepaste beleid alleen ondersteuning voor TLS v1.2 en worden de volgende coderingssuites niet ondersteund.

Niet ondersteunde coderingssuites
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Backend TLS-verbindingen

U hoeft niets op uw Application Gateway te configureren voor de TLS-versie van de back-endverbinding, omdat de selectie van TLS-beleid geen controle heeft over de back-end-TLS-verbindingen. Na de buitengebruikstelling,

  • Voor V2-SKU's: de verbindingen met back-endservers hebben altijd de voorkeur voor TLS v1.3 en minimaal TLS v1.2
  • Voor V1-SKU's: de verbindingen met back-endservers zijn altijd met TLS v1.2

U moet ervoor zorgen dat uw servers in de back-endpools compatibel zijn met deze bijgewerkte protocolversies. Deze compatibiliteit voorkomt onderbrekingen bij het tot stand brengen van een TLS/HTTPS-verbinding met deze back-endservers.

Identificatiemethoden

Metrics

Gebruik de Client TLS protocol metrische gegevens van Application Gateway om te bepalen of clients die verbinding maken met uw Application Gateway-resource TLS 1.0 of 1.1 gebruiken. Zie de documentatie voor metrische gegevens voor meer informatie. U kunt deze bekijken vanuit de portal door deze stappen uit te voeren.

  1. Ga naar de Application Gateway-resource in Azure Portal.
  2. Open in het linkermenuvenster de blade Metrische gegevens in de sectie Bewaking.
  3. Selecteer metriek als Client TLS protocol in de vervolgkeuzelijst.
  4. Als u gedetailleerde protocolversiegegevens wilt weergeven, selecteert u Splitting toepassen en kiest u TLS-protocol.

Een diagram dat de metriekenpagina toont met een verdeling van TLS-versies voor het toepassingsgatewayverkeer.

Logs

U kunt ook de Application Gateway Access-logboeken controleren om deze informatie in logboekindeling weer te geven.

Note

De metrische gegevens en logboeken voor de V1-SKU's bieden geen client-TLS-protocolgegevens.

Foutinformatie

Zodra ondersteuning voor TLS-versies 1.0 en 1.1 is stopgezet, kunnen clients fouten tegenkomen, zoals curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. Afhankelijk van de browser die wordt gebruikt, kunnen verschillende berichten die aangeven dat TLS-handshakefouten worden weergegeven.

Veelgestelde vragen

Wat betekent een standaard TLS-beleid?

Een standaard TLS-beleid voor Application Gateway is een verpakte set ondersteunde TLS-versies en coderingssuites. Hierdoor kunnen klanten beveiligd verkeer gaan gebruiken door alleen HTTPS- of TLS-listeners en back-endinstellingen te configureren, zonder extra configuratie voor TLS-versie of coderingen. Application Gateway gebruikt een van de vooraf gedefinieerde beleidsregels als standaardbeleid.

Hoe wordt het standaard-TLS-beleid beïnvloed na verouderde TLS-versies 1.0 en 1.1 buiten gebruik gesteld?

Tot september 2025 maken V2-SKU's gebruik van twee standaard TLS-beleidsregels op basis van de API-versie die tijdens de resource-implementatie is opgegeven. Implementaties met API-versie 2023-02-01 of hoger zijn standaard van toepassing AppGwSslPolicy20220101 , terwijl eerdere API-versies worden gebruikt AppGwSslPolicy20150501.

Met de afschaffing van TLS 1.0 en 1.1 wordt het oudere AppGwSslPolicy20150501 beleid stopgezet. AppGwSslPolicy20220101 Dit wordt dus het standaardbeleid voor alle V2-gateways. Zodra deze wijziging in het standaardbeleid is geïmplementeerd, wordt de configuratie-update voltooid door een volgende PUT-bewerking.

Het standaardbeleid voor de V1-SKU blijft ongewijzigd, omdat AppGwSslPolicy20220101 deze niet wordt geïntroduceerd voor deze buiten gebruik stellende SKU.

Note

  • Er wordt alleen een standaard TLS-beleid toegepast wanneer de optie Standaard is geselecteerd in de portal of wanneer er geen TLS-beleid is opgegeven in de resourceconfiguratie, zoals REST, PowerShell of AzCLI. Daarom is het gebruik van een standaardbeleid in de configuratie niet hetzelfde als het expliciet selecteren van AppGwSslPolicy20150501 beleid, zelfs als AppGwSslPolicy20150501 dit het standaardbeleid is voor uw API-versie.

  • De wijzigingen worden geleidelijk toegepast in alle Azure-regio's.

Welk TLS-beleid in Application Gateway wordt afgeschaft?

Het vooraf gedefinieerde beleid AppGwSslPolicy20150501 en AppGwSslPolicy20170401 dat TLS-versies 1.0 en 1.1 ondersteunt, wordt verwijderd uit de Azure Resource Manager-configuratie. Op dezelfde manier wordt het aangepaste beleid gestopt met het ondersteunen van TLS-versies 1.0 en 1.1, samen met de bijbehorende coderingssuites. Dit geldt voor zowel V1- als V2-SKU's.

Werkt het Application Gateway-productteam de configuratie automatisch bij naar een ondersteund TLS-beleid?

Application Gateway wijzigt geen resource met door de klant gedefinieerde TLS-configuraties. Alleen het standaard TLS-beleid voor gateways die geen TLS-beleid hebben ingesteld of waarvoor geen TLS-gerelateerde instellingen (zoals HTTPS- of TLS-listeners) zijn ingesteld, worden automatisch bijgewerkt voor gebruik AppGwSslPolicy20220101.

Krijgt mijn gateway de status Mislukt?

Als u een afschattend TLS-beleid hebt gekozen in de configuratie van uw gateway en deze niet tegen augustus 2025 bijwerkt naar een ondersteund beleid, krijgt uw gateway de status Mislukt bij het uitvoeren van een configuratie-update.

Een niet-functionele TLS-configuratie, zoals een SSLProfile die niet is gekoppeld aan een listener, heeft geen invloed op het besturingsvlak van de gateway.

Hoe is de release voor deze wijziging gepland?

Gezien de schaal van onze vloot, wordt na 30 augustus 2025 de afschaffing van TLS-versies afzonderlijk geïmplementeerd voor de besturings- en gegevensvlakken. Er zijn geen regiospecifieke details beschikbaar. daarom raden wij u ten zeerste aan alle nodige maatregelen te nemen.

Is er mogelijk invloed op als ik geen TLS-beleid heb geselecteerd en mijn gateway alleen HTTP/TCP-configuraties gebruikt?

Als uw gateway geen TLS-configuratie gebruikt, hetzij via SSLPolicy, SSLProfile, HTTPS of TLS-listeners, heeft dit geen invloed na augustus 2025.

Volgende stappen

Meer informatie over TLS-beleidstypen en -configuraties. Bezoek Azure Updates voor buitengebruikstellingsmelding