Untuk meningkatkan keamanan, mulai Maret 2025, dukungan untuk Transport Layer Security (TLS) versi 1.1 dan yang lebih lama tidak akan digunakan lagi. Perbarui setelan aplikasi Anda di lingkungan fleksibel App Engine untuk menggunakan TLS versi 1.2 dan yang lebih baru, beserta serangkaian cipher suite yang aman dan sesuai.
Saat Anda memilih versi TLS terbaru, App Engine akan otomatis memblokir traffic yang tidak aman, tanpa mengharuskan Anda mengonfigurasi Load Balancer Aplikasi eksternal global untuk merutekan permintaan ke aplikasi Anda.
Untuk mengupgrade aplikasi yang ada agar hanya menggunakan TLS versi 1.2 dan yang lebih baru, ikuti petunjuk dalam panduan ini.
Cipher suite dan versi TLS yang didukung
Keamanan koneksi TLS bergantung pada cipher suite yang dinegosiasikan, yaitu kombinasi algoritma kriptografi. Cipher suite ini diidentifikasi oleh nilai IANA, seperti yang dijelaskan dalam tabel berikut:
| Versi TLS | Nilai IANA | Cipher suite |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Jika Anda perlu menggunakan cipher suite yang berbeda atau kurang ketat, sebaiknya gunakan Load Balancer Aplikasi eksternal global. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan Load Balancer Aplikasi klasik dengan App Engine dan Kebijakan SSL untuk protokol SSL dan TLS dalam dokumentasi Cloud Load Balancing.
Memperbarui versi TLS yang diizinkan untuk aplikasi Anda
Anda dapat mengupdate versi TLS menggunakan konsol Google Cloud atau gcloud CLI. Untuk mengetahui langkah-langkah khusus alat, klik tab untuk alat pilihan Anda:
Konsol
Di konsol Google Cloud , buka halaman Settings App Engine:
Di tab Setelan aplikasi, klik Edit setelan aplikasi.
Dari daftar SSL Policy, pilih TLS 1.2+ (Modern ciphers). Pilihan ini hanya mengizinkan TLS versi 1.2 dan yang lebih baru, dengan cipher suite modern. Jika Anda ingin mengizinkan versi TLS yang kurang aman, seperti 1.0 dan yang lebih baru, pilih TLS 1.0+ (Tidak berlaku). Namun, sebaiknya update aplikasi Anda untuk menggunakan versi TLS yang didukung terbaru.
Klik Simpan.
gcloud
Saat Anda membuat atau mengupdate aplikasi, gunakan flag --ssl-policy untuk
menentukan versi TLS minimum yang diizinkan.
Untuk menetapkan versi TLS minimum saat membuat aplikasi:
gcloud app create --ssl-policy=TLS_VERSION
Untuk menetapkan versi TLS minimum saat mengupdate aplikasi Anda:
gcloud app update --ssl-policy=TLS_VERSION
Ganti TLS_VERSION dengan TLS_VERSION_1_2. Opsi ini hanya mengizinkan TLS versi 1.2 dan yang lebih baru, dengan cipher suite modern. Jika Anda ingin mengizinkan versi TLS yang kurang aman, seperti 1.0 dan yang lebih baru, ganti TLS_VERSION dengan TLS_VERSION_1_0. Namun, sebaiknya update aplikasi Anda untuk menggunakan versi TLS yang didukung terbaru.
Menonaktifkan cipher dan versi TLS kustom
Jika Anda memperbarui setelan aplikasi untuk menggunakan TLS versi 1.2 dan yang lebih baru, App Engine akan otomatis memblokir semua traffic yang tidak aman menggunakan TLS versi 1.1 dan yang lebih lama.
Jika menggunakan Cloud Load Balancing dan NEGS serverless untuk merutekan traffic ke aplikasi App Engine, Anda dapat menonaktifkan cipher atau versi TLS dengan menetapkan kebijakan keamanan SSL. Tentukan versi dan cipher TLS yang dapat digunakan oleh koneksi HTTPS atau SSL.
Langkah berikutnya
Untuk memverifikasi dan mengelola sertifikat SSL, lihat Mengamankan domain kustom dengan SSL.
Untuk mengaktifkan Cloud Load Balancing agar dapat mengelola permintaan masuk ke domain kustom Anda, lihat Memigrasikan domain kustom App Engine ke Cloud Load Balancing.