Cette page a été traduite par l'API Cloud Translation.

Sécuriser votre application avec TLS minimal (environnement flexible)

Pour renforcer la sécurité, la compatibilité avec Transport Layer Security (TLS) version 1.1 et antérieure sera abandonnée à partir de mars 2025. Mettez à jour les paramètres de votre application dans l'environnement flexible App Engine pour utiliser TLS version 1.2 ou ultérieure, ainsi qu'un ensemble de suites de chiffrement sécurisé correspondant.

Lorsque vous sélectionnez la dernière version de TLS, App Engine bloque automatiquement le trafic non sécurisé, sans que vous ayez besoin de configurer un équilibreur de charge d'application externe global pour acheminer les requêtes vers votre application.

Pour mettre à niveau vos applications existantes afin qu'elles n'utilisent que la version 1.2 de TLS et les versions ultérieures, suivez les instructions de ce guide.

Remarque : Si vous mettez à jour les paramètres de votre application pour appliquer la version 1.2 de TLS ou une version ultérieure, App Engine rejette automatiquement les requêtes entrantes qui tentent d'utiliser des versions antérieures et moins sécurisées de TLS (version 1.1 ou antérieure). Avant mars 2026, ce refus génère une erreur 400 Bad Request - The request was malformed après un handshake TLS réussi, ce qui signifie que la connexion est établie, mais que la requête elle-même est refusée. Les sites externes de vérification SSL ne valident peut-être qu'un handshake TLS réussi et impliquent à tort que TLS version 1.1 et les versions antérieures sont toujours compatibles. Après mars 2026, App Engine garantira une conformité plus stricte en matière de sécurité en empêchant le handshake TLS lui-même pour les connexions utilisant la version 1.1 de TLS et les versions antérieures.

Versions TLS et suites de chiffrement compatibles

La sécurité des connexions TLS dépend de la suite de chiffrement négociée, qui est une combinaison d'algorithmes cryptographiques. Ces suites de chiffrement sont identifiées par des valeurs IANA, comme indiqué dans le tableau suivant :

Version TLS	Valeur IANA	Suite de chiffrement
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Si vous devez utiliser une suite de chiffrement différente ou moins restrictive, nous vous recommandons d'utiliser un équilibreur de charge d'application externe global. Pour en savoir plus, consultez les pages Configurer un équilibreur de charge d'application classique avec App Engine et Règles SSL pour les protocoles SSL et TLS dans la documentation Cloud Load Balancing.

Mettre à jour les versions TLS autorisées pour votre application

Vous pouvez mettre à jour la version TLS à l'aide de la console Google Cloud ou de la gcloud CLI. Pour obtenir la procédure spécifique à un outil, cliquez sur l'onglet de l'outil de votre choix :

Console

Dans la console Google Cloud , accédez à la page Paramètres d'App Engine :

Accéder aux paramètres
Dans l'onglet Paramètres des applications, cliquez sur Modifier les paramètres de l'application.
Dans la liste Règle SSL, sélectionnez TLS 1.2 ou version ultérieure (algorithmes de chiffrement modernes). Cette sélection n'autorise que TLS version 1.2 et ultérieure, avec des suites de chiffrement modernes. Si vous souhaitez autoriser les versions TLS moins sécurisées, telles que 1.0 et ultérieures, sélectionnez TLS 1.0+ (obsolète). Toutefois, nous vous recommandons de mettre à jour vos applications pour qu'elles utilisent la dernière version compatible de TLS.
Cliquez sur Enregistrer.

gcloud

Lorsque vous créez ou mettez à jour votre application, utilisez l'option --ssl-policy pour spécifier la version TLS minimale autorisée.

Pour définir une version TLS minimale lors de la création de votre application :

gcloud app create --ssl-policy=TLS_VERSION

Pour définir une version TLS minimale lorsque vous mettez à jour votre application :

gcloud app update --ssl-policy=TLS_VERSION

Remplacez TLS_VERSION par TLS_VERSION_1_2. Cette option n'autorise que TLS version 1.2 et ultérieure, avec des suites de chiffrement modernes. Si vous souhaitez autoriser les versions TLS moins sécurisées, telles que 1.0 et ultérieures, remplacez TLS_VERSION par TLS_VERSION_1_0. Toutefois, nous vous recommandons de mettre à jour vos applications pour qu'elles utilisent la dernière version TLS prise en charge.

Désactiver les versions et algorithmes de chiffrement TLS personnalisés

Si vous mettez à jour les paramètres de votre application pour utiliser TLS version 1.2 ou ultérieure, App Engine bloque automatiquement tout le trafic non sécurisé utilisant TLS version 1.1 ou antérieure.

Si vous utilisez Cloud Load Balancing et des NEG sans serveur pour acheminer le trafic vers votre application App Engine, vous pouvez désactiver une version ou un algorithme de chiffrement TLS en définissant une règle de sécurité SSL. Spécifiez les versions et algorithmes de chiffrement TLS que les connexions HTTPS ou SSL peuvent utiliser.

Étapes suivantes

Pour valider et gérer les certificats SSL, consultez Sécuriser les domaines personnalisés avec SSL.
Pour permettre à Cloud Load Balancing de gérer les requêtes entrantes vers votre domaine personnalisé, consultez Migrer un domaine personnalisé App Engine vers Cloud Load Balancing.