Esta página foi traduzida pela API Cloud Translation.

Proteja a sua app com o TLS mínimo (ambiente flexível)

Para aumentar a segurança, a partir de março de 2025, o suporte para a versão 1.1 e anteriores do protocolo Transport Layer Security (TLS) vai ser descontinuado. Atualize as definições da sua aplicação no ambiente flexível do App Engine para usar a versão 1.2 e posterior do TLS, juntamente com um conjunto seguro correspondente de conjuntos de cifras.

Quando seleciona a versão mais recente do TLS, o App Engine bloqueia automaticamente o tráfego não seguro, sem que tenha de configurar um balanceador de carga de aplicações externo global para encaminhar pedidos para a sua aplicação.

Para atualizar as suas aplicações existentes para usar apenas a versão 1.2 e posteriores do TLS, siga as instruções neste guia.

Nota: se atualizar as definições da sua aplicação para aplicar a versão 1.2 e posteriores do TLS, o App Engine rejeita automaticamente os pedidos recebidos que tentem usar versões 1.1 e anteriores do TLS, que são menos seguras. Antes de março de 2026, esta rejeição causa um erro 400 Bad Request - The request was malformed após uma troca de informações TLS bem-sucedida, o que significa que a ligação é estabelecida, mas o pedido em si é recusado. Os sites externos de verificação de SSL podem apenas validar um handshake TLS bem-sucedido e implicar incorretamente que a versão 1.1 e anteriores do TLS ainda são suportadas. Após março de 2026, o App Engine garante uma conformidade de segurança mais rigorosa ao impedir o próprio handshake TLS para ligações que usam a versão 1.1 e anterior do TLS.

Versões do TLS e conjuntos de cifras suportados

A segurança das ligações TLS depende do conjunto de cifras negociado, uma combinação de algoritmos criptográficos. Estes conjuntos de cifras são identificados por valores da IANA, conforme detalhado na tabela seguinte:

Versão do TLS	Valor da IANA	Conjunto de cifras
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Se precisar de usar um conjunto de cifras diferente ou menos restritivo, recomendamos que use um Application Load Balancer externo global. Para mais informações, consulte os artigos Configurar um Application Load Balancer clássico com o App Engine e Políticas SSL para protocolos SSL e TLS na documentação do Cloud Load Balancing.

Atualize as versões do TLS permitidas para a sua app

Pode atualizar a versão do TLS através da Google Cloud consola ou da CLI gcloud. Para ver os passos específicos de cada ferramenta, clique no separador da ferramenta preferida:

Consola

Na Google Cloud consola, aceda à página Definições do App Engine:

Aceda às Definições
No separador Definições da aplicação, clique em Editar definições da aplicação.
Na lista Política SSL, selecione TLS 1.2+ (cifras modernas). Esta seleção só permite a versão TLS 1.2 e posterior, com conjuntos de cifras modernos. Se quiser permitir versões TLS menos seguras, como a 1.0 e posteriores, selecione TLS 1.0+ (obsoleto). No entanto, recomendamos que atualize as suas aplicações para usarem a versão TLS suportada mais recente.
Clique em Guardar.

gcloud

Quando criar ou atualizar a sua aplicação, use a flag --ssl-policy para especificar a versão mínima permitida do TLS.

Para definir uma versão de TLS mínima durante a criação da app:

gcloud app create --ssl-policy=TLS_VERSION

Para definir uma versão de TLS mínima ao atualizar a sua app:

gcloud app update --ssl-policy=TLS_VERSION

Substituir TLS_VERSION por TLS_VERSION_1_2. Isto só permite a versão TLS 1.2 e posterior, com conjuntos de cifras modernos. Se quiser permitir uma versão do TLS menos segura, como 1.0 e posterior, substitua TLS_VERSION por TLS_VERSION_1_0. No entanto, recomendamos que atualize as suas aplicações para usar a versão TLS suportada mais recente.

Desative as cifras e as versões do TLS personalizadas

Se atualizar as definições da sua aplicação para usar a versão 1.2 e posteriores do TLS, o App Engine bloqueia automaticamente todo o tráfego não seguro que usa a versão 1.1 e anteriores do TLS.

Se usar o Cloud Load Balancing e NEGs sem servidor para encaminhar tráfego para a sua aplicação do App Engine, pode desativar uma versão do TLS ou uma cifra definindo uma política de segurança SSL. Especifique as versões e as cifras TLS que as ligações HTTPS ou SSL podem usar.

O que se segue?

Para validar e gerir certificados SSL, consulte o artigo Proteja domínios personalizados com SSL.
Para permitir que o Cloud Load Balancing faça a gestão dos pedidos recebidos para o seu domínio personalizado, consulte o artigo Migre o domínio personalizado do App Engine para o Cloud Load Balancing.