セキュリティを強化するため、2025 年 3 月以降、Transport Layer Security(TLS)バージョン 1.1 以前のサポートは非推奨です。App Engine フレキシブル環境でアプリケーション設定を更新して、TLS バージョン 1.2 以降と、対応する安全な暗号スイートのセットを使用します。
最新の TLS バージョンを選択すると、App Engine は安全でないトラフィックを自動的にブロックします。このとき、アプリケーションにリクエストを転送するようにグローバル外部アプリケーション ロードバランサを構成する必要はありません。
既存のアプリケーションをアップグレードして TLS バージョン 1.2 以降のみを使用するには、このガイドの手順に沿って操作します。
サポートされている TLS バージョンと暗号スイート
TLS 接続のセキュリティは、ネゴシエートされた暗号スイート(暗号アルゴリズムの組み合わせ)によって異なります。これらの暗号スイートは、次の表に示すように IANA 値で識別されます。
| TLS バージョン | IANA 値 | 暗号スイート |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
別の暗号スイートまたは制限の緩い暗号スイートを使用する必要がある場合は、グローバル外部アプリケーション ロードバランサを使用することをおすすめします。詳細については、Cloud Load Balancing ドキュメントの App Engine で従来のアプリケーション ロードバランサを設定すると SSL プロトコルと TLS プロトコルの SSL ポリシーをご覧ください。
アプリで許可されている TLS バージョンを更新する
TLS バージョンは、 Google Cloud コンソールまたは gcloud CLI を使用して更新できます。ツール固有の手順については、使用するツールのタブをクリックしてください。
コンソール
Google Cloud コンソールで App Engine の [設定] ページに移動します。
[アプリケーション設定] タブで、[アプリケーションの設定を編集] をクリックします。
[SSL ポリシー] リストから、[TLS 1.2 以上(最新の暗号)] を選択します。この選択では、最新の暗号スイートを使用する TLS バージョン 1.2 以降のみが許可されます。1.0 以降など、安全性の低い TLS バージョンを許可する場合は、[TLS 1.0 以上(廃止)] を選択します。ただし、最新のサポートされている TLS バージョンを使用するようにアプリケーションを更新することをおすすめします。
[保存] をクリックします。
gcloud
アプリケーションの作成時または更新時に、--ssl-policy フラグを使用して、許可される最小 TLS バージョンを指定します。
アプリの作成時に最小 TLS バージョンを設定するには:
gcloud app create --ssl-policy=TLS_VERSION
アプリの更新時に最小 TLS バージョンを設定するには:
gcloud app update --ssl-policy=TLS_VERSION
TLS_VERSION を TLS_VERSION_1_2 に置き換えます。これにより、最新の暗号スイートを使用する TLS バージョン 1.2 以降のみが許可されます。1.0 以降など、安全性の低い TLS バージョンを許可する場合は、TLS_VERSION を TLS_VERSION_1_0 に置き換えます。ただし、最新のサポートされている TLS バージョンを使用するようにアプリケーションを更新することをおすすめします。
カスタム TLS バージョンと暗号を無効にする
TLS バージョン 1.2 以降を使用するようにアプリケーション設定を更新すると、App Engine は TLS バージョン 1.1 以前を使用する安全でないトラフィックをすべて自動的にブロックします。
Cloud Load Balancing とサーバーレス NEG を使用して App Engine アプリケーションにトラフィックをルーティングする場合は、SSL セキュリティ ポリシーを定義することで、TLS バージョンまたは暗号を無効にできます。HTTPS 接続または SSL 接続で使用できる TLS バージョンと暗号を指定します。
次のステップ
SSL 証明書を確認して管理するには、カスタム ドメインを SSL で保護するをご覧ください。
Cloud Load Balancing によるカスタム ドメインへの受信リクエストの管理を有効にするには、App Engine のカスタム ドメインを Cloud Load Balancing に移行するをご覧ください。