Esta página foi traduzida pela API Cloud Translation.

Proteger seu app com TLS mínimo (ambiente flexível)

Para aumentar a segurança, a partir de março de 2025, o suporte para o Transport Layer Security (TLS) versão 1.1 e anteriores será descontinuado. Atualize as configurações do aplicativo no ambiente flexível do App Engine para usar o TLS versão 1.2 e mais recentes, além de um conjunto seguro correspondente de pacotes de criptografia.

Ao selecionar a versão mais recente do TLS, o App Engine bloqueia automaticamente o tráfego não seguro, sem exigir que você configure um balanceador de carga de aplicativo externo global para encaminhar solicitações ao seu aplicativo.

Para fazer upgrade dos aplicativos atuais para usar somente o TLS versão 1.2 e posterior, siga as instruções neste guia.

Observação: se você atualizar as configurações do aplicativo para exigir o TLS versão 1.2 e mais recente, o App Engine vai rejeitar automaticamente as solicitações recebidas que tentarem usar versões 1.1 e anteriores do TLS, que são mais antigas e menos seguras. Antes de março de 2026, essa rejeição causa um erro 400 Bad Request - The request was malformed após um handshake TLS bem-sucedido. Isso significa que a conexão foi estabelecida, mas a solicitação em si foi negada. Sites externos de verificação de SSL podem apenas verificar um handshake TLS bem-sucedido e implicar incorretamente que o TLS versão 1.1 e anteriores ainda são compatíveis. Depois de março de 2026, o App Engine vai garantir uma conformidade de segurança mais rigorosa impedindo o handshake do TLS para conexões que usam a versão 1.1 e anteriores.

Versões e pacotes de criptografia do TLS compatíveis

A segurança das conexões TLS depende do pacote de criptografia negociado, uma combinação de algoritmos criptográficos. Esses conjuntos de algoritmos de criptografia são identificados por valores da IANA, conforme detalhado na tabela a seguir:

Versão TLS	Valor da IANA	Pacote de criptografia
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Se você precisar usar um conjunto de algoritmos de criptografia diferente ou menos restritivo, recomendamos usar um balanceador de carga de aplicativo externo global. Para mais informações, consulte Configurar um balanceador de carga de aplicativo clássico com o App Engine e Políticas de SSL para protocolos SSL e TLS na documentação do Cloud Load Balancing.

Atualizar as versões do TLS permitidas para seu app

É possível atualizar a versão do TLS usando o console Google Cloud ou a CLI gcloud. Para etapas específicas da ferramenta, clique na guia da sua ferramenta preferida:

Console

No Google Cloud console, acesse a página Configurações do App Engine:

Acesse configurações
Na guia Configurações do aplicativo, clique em Editar configurações do aplicativo.
Na lista Política de SSL, selecione TLS 1.2 ou mais recente (cifras modernas). Essa seleção só permite o TLS versão 1.2 e mais recentes, com conjuntos de cifras modernos. Se você quiser permitir versões menos seguras do TLS, como 1.0 e posteriores, selecione TLS 1.0+ (obsoleto). No entanto, recomendamos que você atualize seus aplicativos para usar a versão mais recente do TLS compatível.
Clique em Salvar.

gcloud

Ao criar ou atualizar o aplicativo, use a flag --ssl-policy para especificar a versão mínima permitida do TLS.

Para definir uma versão mínima do TLS ao criar seu app:

gcloud app create --ssl-policy=TLS_VERSION

Para definir uma versão mínima do TLS ao atualizar o app:

gcloud app update --ssl-policy=TLS_VERSION

Substitua TLS_VERSION por TLS_VERSION_1_2. Isso só permite o TLS versão 1.2 e mais recente, com conjuntos de criptografia modernos. Se você quiser permitir uma versão de TLS menos segura, como 1.0 e posterior, substitua TLS_VERSION por TLS_VERSION_1_0. No entanto, recomendamos que você atualize seus aplicativos para usar a versão mais recente do TLS compatível.

Desativar versões e criptografias TLS personalizadas

Se você atualizar as configurações do aplicativo para usar o TLS versão 1.2 e posterior, o App Engine vai bloquear automaticamente todo o tráfego não seguro usando o TLS versão 1.1 e anterior.

Se você usar o Cloud Load Balancing e os NEGs sem servidor para rotear o tráfego para seu aplicativo do App Engine, poderá desativar uma versão ou criptografia TLS definindo uma política de segurança SSL. Especifique as versões e criptografias TLS que as conexões HTTPS ou SSL podem usar.

A seguir

Para verificar e gerenciar certificados SSL, consulte Proteger domínios personalizados com SSL.
Para permitir que o Cloud Load Balancing gerencie as solicitações recebidas para seu domínio personalizado, consulte Migrar o domínio personalizado do App Engine para o Cloud Load Balancing.