Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den 31 augusti 2025 stöder Azure Application Gateway inte längre TLS-versionerna (Transport Layer Security) 1.0 och 1.1. Den här ändringen överensstämmer med Azure-övergripande utfasningen av dessa TLS-versioner för att förbättra säkerheten. Som ägare till en Application Gateway-resurs bör du granska både klientdelsklienterna och serverdelsservrarnas TLS-anslutningar som kan använda dessa äldre versioner.
Klientdels-TLS-anslutningar
Med utfasning av TLS-versionerna 1.0 och 1.1 tas de äldre fördefinierade TLS-principerna och vissa chiffersviter från den anpassade TLS-principen bort. Beroende på konfigurationen av din gateway är det nödvändigt att granska principassociationen för både allmän TLS-princip och den lyssnarspecifika TLS-principen.
Allmän TLS-princip – Portalvy
Lyssnarspecifik TLS-princip – Portalvy
Fördefinierade principer för V2-SKU:er
Fördefinierade principer 20150501 och 20170401 som stöder TLS v1.0 och 1.1 upphör och kan inte längre associeras med en Application Gateway-resurs efter augusti 2025. Övergång till en av de rekommenderade TLS-principerna, 20220101 eller 20220101S rekommenderas. Alternativt kan 20170401S-principen användas om specifika chiffersviter krävs.
Anpassade principer för V2-SKU:er
Azure Application Gateway V2 SKU erbjuder två typer av anpassade principer: Custom och CustomV2. Tillbakadragandet av dessa TLS-versioner påverkar endast principen "Anpassad". Den nyare "CustomV2"-principen levereras med TLS v1.3 och även v1.2. Utöver augusti 2025 stöder den äldre anpassade principen endast TLS v1.2 och följande chiffersviter stöds inte.
| Chiffersviter som inte stöds |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Fördefinierade principer för V1-SKU:er
V1 SKU stöder endast 20170401S-principen efter att de äldre principerna med TLS-versionerna 1.0 och 1.1 har upphört. De nyare 20220101- eller 20220101S-policyerna kommer inte att vara tillgängliga för den snartto-betillbakadragna V1-SKU:n.
Anpassade principer för V1-SKU:er
Application Gateway V1 SKU stöder endast den äldre principen "Anpassad". Utöver augusti 2025 stöder den här äldre anpassade principen endast TLS v1.2 och följande chiffersviter stöds inte.
| Chiffersviter som inte stöds |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Backend-TLS-anslutningar
Du behöver inte konfigurera något i Application Gateway för serverdelsanslutningens TLS-version eftersom valet av TLS-princip inte har någon kontroll över serverdels-TLS-anslutningarna. Efter pensioneringen
- För V2-SKU:er: anslutningarna till serverdelsservrar kommer alltid att vara med önskad TLS v1.3 och minst upp till TLS v1.2
- För V1-SKU:er: anslutningarna till serverdelsservrarna kommer alltid att vara med TLS v1.2
Du måste se till att servrarna i serverdelspoolerna är kompatibla med dessa uppdaterade protokollversioner. Denna kompatibilitet förhindrar eventuella störningar vid upprättandet av en TLS/HTTPS-anslutning med dessa bakomliggande servrar.
Identifieringsmetoder
Metrics
Om du vill avgöra om klienter som ansluter till din Application Gateway-resurs använder TLS 1.0 eller 1.1 använder du måttet Client TLS protocol som tillhandahålls av Application Gateway. Mer information finns i dokumentationen om mått. Du kan visa den från portalen genom att följa dessa steg.
- Gå till Application Gateway-resursen i Azure-portalen.
- Öppna bladet Mått i avsnittet Övervakning i det vänstra menyfönstret.
- Välj metric som
Client TLS protocolfrån listrutan. - Om du vill visa detaljerad information om protokollversion väljer du "Tillämpa delning" och väljer "TLS-protokoll".
Logs
Du kan också kontrollera Application Gateway-åtkomstloggarna för att visa den här informationen i loggformat.
Note
Måtten och loggarna för V1-SKU:erna tillhandahåller inte information om TLS-protokollet för klienten.
Felinformation
När stödet för TLS-versionerna 1.0 och 1.1 har upphört kan klienter stöta på fel som curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. Beroende på vilken webbläsare som används kan olika meddelanden som anger TLS-handskakningsfel visas.
FAQs
Vad innebär en TLS-standardprincip?
En standardprincip för TLS för Application Gateway är en paketerad uppsättning TLS-versioner och chiffersviter som stöds. På så sätt kan kunderna börja använda säker trafik genom att endast konfigurera HTTPS- eller TLS-lyssnare och serverdelsinställningar, utan någon extra konfiguration för TLS-version eller chiffer. Application Gateway använder en av sina fördefinierade principer som standard.
Hur påverkas standardprinciperna för TLS efter äldre TLS-versioner 1.0 och 1.1 som dras tillbaka?
Fram till september 2025 använder V2-SKU:er två standardprinciper för TLS baserat på den API-version som angavs under resursdistributionen. Distributioner med API-version 2023-02-01 eller senare gäller AppGwSslPolicy20220101 som standard, medan tidigare API-versioner använder AppGwSslPolicy20150501.
Med utfasningen av TLS 1.0 och 1.1 kommer den äldre AppGwSslPolicy20150501 principen att upphöra.
AppGwSslPolicy20220101 Därför blir standardprincipen för alla V2-gatewayer. När den här ändringen i standardprincipen har implementerats slutför en efterföljande PUT-åtgärd konfigurationsuppdateringen.
Standardprincipen för V1 SKU förblir oförändrad eftersom AppGwSslPolicy20220101 den inte introduceras för den här avgående SKU:n.
Note
En standard-TLS-princip tillämpas endast när alternativet "Standard" har valts i portalen eller när ingen TLS-princip har angetts i resurskonfigurationen med hjälp av exempelvis REST, PowerShell eller AzCLI. Att använda en standardprincip i konfigurationen är därför inte detsamma som att
AppGwSslPolicy20150501uttryckligen välja princip, även omAppGwSslPolicy20150501är standardprincipen för din API-version.Ändringarna tillämpas gradvis i alla Azure-regioner.
Vilka TLS-principer i Application Gateway blir inaktuella?
De fördefinierade principerna AppGwSslPolicy20150501 och AppGwSslPolicy20170401 som stöder TLS-versionerna 1.0 och 1.1 tas bort från Azure Resource Manager-konfigurationen. På samma sätt slutar den anpassade principen att stödja TLS-versionerna 1.0 och 1.1 tillsammans med deras associerade chiffersviter. Detta gäller både V1- och V2-SKU:er.
Kommer Application Gateway-produktteamet automatiskt att uppdatera konfigurationen till en TLS-princip som stöds?
Application Gateway ändrar inte någon resurs med kunddefinierade TLS-konfigurationer. Endast standardprincipen för TLS för gatewayer som inte uttryckligen har angett en TLS-princip eller saknar TLS-relaterade inställningar (till exempel HTTPS- eller TLS-lyssnare) uppdateras automatiskt för att använda AppGwSslPolicy20220101.
Kommer min gateway att hamna i ett feltillstånd?
Om du har valt någon inaktuell TLS-princip i konfigurationen av din gateway och inte uppdaterar den till en princip som stöds i augusti 2025, kommer gatewayen att ange ett feltillstånd när du utför en konfigurationsuppdatering.
En icke-funktionell TLS-konfiguration, en sådan SSLProfile som inte är länkad till någon lyssnare, påverkar inte gatewayens kontrollplan.
Hur planeras versionen för den här ändringen?
Med tanke på omfattningen av vår flotta, efter den 30 augusti 2025, kommer utfasningen av TLS-versioner att implementeras separat för kontroll- och dataplanerna. Någon regionspecifik information kommer inte att vara tillgänglig. Därför rekommenderar vi starkt att du vidtar alla nödvändiga åtgärder så snart som möjligt.
Finns det någon potentiell inverkan om jag inte har valt någon TLS-princip och min gateway endast använder HTTP/TCP-konfigurationer?
Om din gateway inte använder någon TLS-konfiguration – antingen via SSLPolicy, SSLProfile, HTTPS eller TLS-lyssnare – kommer det inte att påverkas efter augusti 2025.
Nästa steg
Läs mer om TLS-principtyper och konfigurationer Besök Azure-uppdateringar för uppsägning