Se usó la API de Cloud Translation para traducir esta página.

Protege tu app con TLS mínimo (entorno flexible)

Para aumentar la seguridad, a partir de marzo de 2025, dejará de estar disponible la compatibilidad con la versión 1.1 y versiones anteriores de la seguridad de la capa de transporte (TLS). Actualiza la configuración de tu aplicación en el entorno flexible de App Engine para usar la versión 1.2 y versiones posteriores de TLS, junto con un conjunto seguro correspondiente de conjuntos de algoritmos de cifrado.

Cuando seleccionas la versión más reciente de TLS, App Engine bloquea automáticamente el tráfico no seguro, sin necesidad de que configures un balanceador de cargas de aplicaciones externo global para enrutar las solicitudes a tu aplicación.

Para actualizar tus aplicaciones existentes para que solo usen la versión 1.2 de TLS y versiones posteriores, sigue las instrucciones de esta guía.

Nota: Si actualizas la configuración de tu aplicación para aplicar la versión 1.2 de TLS y versiones posteriores, App Engine rechazará automáticamente las solicitudes entrantes que intenten usar versiones anteriores y menos seguras de TLS 1.1 y anteriores. Antes de marzo de 2026, este rechazo provoca un error 400 Bad Request - The request was malformed después de un protocolo de enlace TLS exitoso, lo que significa que se establece la conexión, pero se rechaza la solicitud. Es posible que los sitios externos de verificación de SSL solo verifiquen un protocolo de enlace TLS exitoso y, de forma incorrecta, den a entender que aún se admiten la versión 1.1 de TLS y las anteriores. Después de marzo de 2026, App Engine garantizará un cumplimiento de seguridad más estricto, ya que impedirá el protocolo de enlace de TLS para las conexiones que usen la versión 1.1 de TLS y versiones anteriores.

Versiones de TLS y conjuntos de algoritmos de cifrado compatibles

La seguridad de las conexiones TLS depende del conjunto de algoritmos de cifrado negociado, que es una combinación de algoritmos criptográficos. Estos conjuntos de algoritmos de cifrado se identifican con valores de IANA, como se detalla en la siguiente tabla:

Versión de TLS	Valor de IANA	Conjunto de algoritmos de cifrado
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Si necesitas usar un conjunto de algoritmos de cifrado diferente o menos restrictivo, te recomendamos que uses un balanceador de cargas de aplicaciones externo global. Para obtener más información, consulta Configura un balanceador de cargas de aplicaciones clásico con App Engine y Políticas de SSL para los protocolos SSL y TLS en la documentación de Cloud Load Balancing.

Actualiza las versiones de TLS permitidas para tu app

Puedes actualizar la versión de TLS con la consola de Google Cloud o gcloud CLI. Para conocer los pasos específicos de cada herramienta, haz clic en la pestaña de la herramienta que prefieras:

Console

En la consola de Google Cloud , ve a la página Configuración de App Engine:

Ir a la configuración
En la pestaña Configuración de la aplicación, haz clic en Editar configuración de la aplicación.
En la lista SSL Policy, selecciona TLS 1.2+ (Modern ciphers). Esta selección solo permite la versión 1.2 y versiones posteriores de TLS, con conjuntos de algoritmos de cifrado modernos. Si quieres permitir versiones de TLS menos seguras, como la 1.0 y versiones posteriores, selecciona TLS 1.0+ (obsoleto). Sin embargo, te recomendamos que actualices tus aplicaciones para usar la versión de TLS compatible más reciente.
Haz clic en Guardar.

gcloud

Cuando crees o actualices tu aplicación, usa la marca --ssl-policy para especificar la versión mínima permitida de TLS.

Para establecer una versión mínima de TLS mientras creas tu app, haz lo siguiente:

gcloud app create --ssl-policy=TLS_VERSION

Para establecer una versión mínima de TLS mientras actualizas tu app, haz lo siguiente:

gcloud app update --ssl-policy=TLS_VERSION

Reemplaza TLS_VERSION por TLS_VERSION_1_2. Esto solo permite la versión 1.2 de TLS y versiones posteriores, con conjuntos de cifrado modernos. Si deseas permitir una versión de TLS menos segura, como la 1.0 y versiones posteriores, reemplaza TLS_VERSION por TLS_VERSION_1_0. Sin embargo, te recomendamos que actualices tus aplicaciones para usar la versión de TLS compatible más reciente.

Inhabilita los cifrados y las versiones de TLS personalizados

Si actualizas la configuración de tu aplicación para usar la versión 1.2 de TLS y versiones posteriores, App Engine bloqueará automáticamente todo el tráfico no seguro que use la versión 1.1 de TLS y versiones anteriores.

Si usas Cloud Load Balancing y NEG sin servidores para enrutar el tráfico a tu aplicación de App Engine, puedes inhabilitar un algoritmo de cifrado o una versión de TLS con solo definir una política de seguridad de SSL. Especifica los algoritmos de cifrado y las versiones de TLS que pueden usar las conexiones HTTPS o SSL.

¿Qué sigue?

Para verificar y administrar los certificados SSL, consulta Protege dominios personalizados con SSL.
Para permitir que Cloud Load Balancing administre las solicitudes entrantes a tu dominio personalizado, consulta Migra el dominio personalizado de App Engine a Cloud Load Balancing.