Esta página se ha traducido con Cloud Translation API.

Proteger una aplicación con TLS mínimo (entorno flexible)

Para aumentar la seguridad, a partir de marzo del 2025, se dejará de admitir la versión 1.1 y las anteriores del protocolo Seguridad en la capa de transporte (TLS). Actualiza la configuración de tu aplicación en el entorno flexible de App Engine para usar TLS 1.2 o una versión posterior, junto con un conjunto seguro de paquetes de cifrado.

Si seleccionas la versión más reciente de TLS, App Engine bloqueará automáticamente el tráfico no seguro sin que tengas que configurar un balanceador de carga de aplicaciones externo global para enrutar las solicitudes a tu aplicación.

Para actualizar tus aplicaciones para que solo usen la versión 1.2 de TLS o una posterior, sigue las instrucciones de esta guía.

Nota: Si actualizas la configuración de tu aplicación para aplicar la versión 1.2 de TLS o una posterior, App Engine rechazará automáticamente las solicitudes entrantes que intenten usar versiones anteriores y menos seguras de TLS (1.1 y anteriores). Antes de marzo del 2026, este rechazo provoca un error 400 Bad Request - The request was malformed tras un handshake TLS correcto, lo que significa que la conexión se establece, pero la solicitud se deniega. Es posible que los sitios externos de comprobación de SSL solo verifiquen que se ha realizado correctamente la negociación de TLS y que indiquen incorrectamente que las versiones 1.1 y anteriores de TLS siguen siendo compatibles. Después de marzo del 2026, App Engine garantizará un cumplimiento de la seguridad más estricto al impedir el propio handshake de TLS en las conexiones que utilicen la versión 1.1 de TLS o versiones anteriores.

Versiones de TLS y conjuntos de cifrado admitidos

La seguridad de las conexiones TLS depende del conjunto de cifrado negociado, que es una combinación de algoritmos criptográficos. Estos conjuntos de cifrado se identifican mediante valores de IANA, tal como se detalla en la siguiente tabla:

Versión de TLS	Valor de IANA	Conjunto de cifrado
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Si necesitas usar un conjunto de cifrado diferente o menos restrictivo, te recomendamos que uses un balanceador de carga de aplicación externo global. Para obtener más información, consulta Configurar un balanceador de carga de aplicaciones clásico con App Engine y Políticas de SSL para protocolos SSL y TLS en la documentación de Cloud Load Balancing.

Actualizar las versiones de TLS permitidas para tu aplicación

Puedes actualizar la versión de TLS mediante la consola o la CLI de gcloud. Google Cloud Para ver los pasos específicos de cada herramienta, haz clic en la pestaña de la herramienta que prefieras:

Consola

En la consola, ve a la página Configuración de App Engine: Google Cloud

Ir a Ajustes
En la pestaña Configuración de la aplicación, haz clic en Editar configuración de la aplicación.
En la lista Política de SSL, selecciona TLS 1.2+ (cifrados modernos). Esta opción solo permite la versión 1.2 de TLS y versiones posteriores, con conjuntos de cifrado modernos. Si quieres permitir versiones de TLS menos seguras, como la 1.0 y posteriores, selecciona TLS 1.0+ (obsoleto). Sin embargo, te recomendamos que actualices tus aplicaciones para que usen la versión de TLS compatible más reciente.
Haz clic en Guardar.

gcloud

Cuando crees o actualices tu aplicación, usa la marca --ssl-policy para especificar la versión mínima de TLS permitida.

Para definir una versión mínima de TLS al crear tu aplicación, sigue estos pasos:

gcloud app create --ssl-policy=TLS_VERSION

Para definir una versión mínima de TLS al actualizar tu aplicación, sigue estos pasos:

gcloud app update --ssl-policy=TLS_VERSION

Reemplaza TLS_VERSION por TLS_VERSION_1_2. Solo permite la versión 1.2 de TLS y versiones posteriores, con paquetes de cifrado modernos. Si quieres permitir una versión de TLS menos segura, como la 1.0 o versiones posteriores, sustituye TLS_VERSION por TLS_VERSION_1_0. Sin embargo, te recomendamos que actualices tus aplicaciones para que usen la versión de TLS compatible más reciente.

Inhabilitar versiones y cifrados TLS personalizados

Si actualizas la configuración de tu aplicación para que use TLS 1.2 y versiones posteriores, App Engine bloqueará automáticamente todo el tráfico no seguro que use TLS 1.1 y versiones anteriores.

Si usas Cloud Load Balancing y NEGs sin servidor para enrutar el tráfico a tu aplicación de App Engine, puedes inhabilitar una versión de TLS o un cifrado definiendo una política de seguridad SSL. Especifica las versiones y los cifrados de TLS que pueden usar las conexiones HTTPS o SSL.

Siguientes pasos

Para verificar y gestionar los certificados SSL, consulta el artículo Proteger dominios personalizados con SSL.
Para permitir que Cloud Load Balancing gestione las solicitudes entrantes a tu dominio personalizado, consulta el artículo Migrar un dominio personalizado de App Engine a Cloud Load Balancing.