Zur Erhöhung der Sicherheit wird die Unterstützung für Transport Layer Security (TLS) Version 1.1 und früher ab März 2025 eingestellt. Aktualisieren Sie die Anwendungseinstellungen in der flexiblen App Engine-Umgebung, um TLS-Version 1.2 und höher sowie eine entsprechende sichere Gruppe von Chiffresammlungen zu verwenden.
Wenn Sie die neueste TLS-Version auswählen, blockiert App Engine automatisch unsicheren Traffic, ohne dass Sie einen globalen externen Application Load Balancer konfigurieren müssen, um Anfragen an Ihre Anwendung weiterzuleiten.
Wenn Sie Ihre vorhandenen Anwendungen so aktualisieren möchten, dass nur TLS-Version 1.2 und höher verwendet wird, folgen Sie der Anleitung in diesem Leitfaden.
Unterstützte TLS-Versionen und Chiffresammlungen
Die Sicherheit von TLS-Verbindungen hängt von der ausgehandelten Cipher Suite ab, einer Kombination aus kryptografischen Algorithmen. Diese Chiffrierverfahren werden durch IANA-Werte identifiziert, wie in der folgenden Tabelle beschrieben:
| TLS-Version | IANA-Wert | Cipher Suite |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Wenn Sie eine andere oder weniger restriktive Cipher Suite verwenden müssen, empfehlen wir, einen globalen externen Application Load Balancer zu verwenden. Weitere Informationen finden Sie in der Cloud Load Balancing-Dokumentation unter Klassischen Application Load Balancer mit App Engine einrichten und SSL-Richtlinien für SSL- und TLS-Protokolle.
Zulässige TLS-Versionen für Ihre App aktualisieren
Sie können die TLS-Version über die Google Cloud Konsole oder die gcloud CLI aktualisieren. Klicken Sie für toolspezifische Schritte auf den Tab für Ihr bevorzugtes Tool:
Konsole
Rufen Sie in der Google Cloud Console die App Engine-Seite Einstellungen auf:
Klicken Sie auf dem Tab Anwendungseinstellungen auf Anwendungseinstellungen bearbeiten.
Wählen Sie in der Liste SSL-Richtlinie die Option TLS 1.2+ (moderne Chiffren) aus. Bei dieser Auswahl sind nur TLS-Version 1.2 und höher mit modernen Chiffrierverfahren zulässig. Wenn Sie weniger sichere TLS-Versionen wie 1.0 und höher zulassen möchten, wählen Sie TLS 1.0+ (obsolet) aus. Wir empfehlen jedoch, Ihre Anwendungen auf die neueste unterstützte TLS-Version zu aktualisieren.
Klicken Sie auf Speichern.
gcloud
Wenn Sie Ihre Anwendung erstellen oder aktualisieren, verwenden Sie das Flag --ssl-policy, um die zulässige Mindestversion von TLS anzugeben.
So legen Sie beim Erstellen Ihrer App eine TLS-Mindestversion fest:
gcloud app create --ssl-policy=TLS_VERSION
So legen Sie beim Aktualisieren Ihrer App eine TLS-Mindestversion fest:
gcloud app update --ssl-policy=TLS_VERSION
Ersetzen Sie TLS_VERSION durch TLS_VERSION_1_2. Dadurch werden nur TLS-Version 1.2 und höher mit modernen Chiffresammlungen zugelassen. Wenn Sie weniger sichere TLS-Versionen wie 1.0 und höher zulassen möchten, ersetzen Sie TLS_VERSION durch TLS_VERSION_1_0. Wir empfehlen Ihnen jedoch, Ihre Anwendungen auf die neueste unterstützte TLS-Version zu aktualisieren.
Benutzerdefinierte TLS-Versionen und ‑Chiffren deaktivieren
Wenn Sie Ihre Anwendungseinstellungen so aktualisieren, dass TLS-Version 1.2 und höher verwendet wird, blockiert App Engine automatisch den gesamten unsicheren Traffic mit TLS-Version 1.1 und niedriger.
Wenn Sie Cloud Load Balancing und serverlose NEGs verwenden, um Traffic an Ihre App Engine-Anwendung weiterzuleiten, können Sie eine TLS-Version oder -Chiffre deaktivieren, wenn Sie eine SSL-Sicherheitsrichtlinie definieren. Geben Sie die TLS-Versionen und -Chiffren an, die für HTTPS- oder SSL-Verbindungen verwendet werden können.
Nächste Schritte
Informationen zum Prüfen und Verwalten von SSL-Zertifikaten finden Sie unter Benutzerdefinierte Domains mit SSL sichern.
Informationen zum Verwalten eingehender Anfragen an Ihre benutzerdefinierte Domain durch Cloud Load Balancing finden Sie unter Benutzerdefinierte App Engine-Domain zu Cloud Load Balancing migrieren.