Sécuriser votre application avec TLS minimal (environnement flexible)

Pour renforcer la sécurité, la compatibilité avec le protocole TLS (Transport Layer Security) version 1.1 et antérieure sera abandonnée à partir de mars 2025. Mettez à jour les paramètres de votre application dans l'environnement flexible App Engine pour utiliser TLS version 1.2 ou ultérieure, ainsi qu'un ensemble sécurisé de suites de chiffrement correspondantes.

Lorsque vous sélectionnez la dernière version de TLS, App Engine bloque automatiquement le trafic non sécurisé, sans que vous ayez besoin de configurer un équilibreur de charge d'application externe global pour acheminer les requêtes vers votre application.

Pour mettre à niveau vos applications existantes afin qu'elles n'utilisent que la version 1.2 de TLS ou une version ultérieure, suivez les instructions de ce guide.

Versions TLS et suites de chiffrement compatibles

La sécurité des connexions TLS dépend de la suite de chiffrement négociée, qui est une combinaison d'algorithmes cryptographiques. Ces suites de chiffrement sont identifiées par des valeurs IANA, comme indiqué dans le tableau suivant :

Version TLS Valeur IANA Suite de chiffrement
TLS v1.3 0x1301 TLS_AES_128_GCM_SHA256
0x1302 TLS_AES_256_GCM_SHA384
0x1303 TLS_CHACHA20_POLY1305_SHA256
TLS v1.2 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Si vous devez utiliser une suite de chiffrement différente ou moins restrictive, nous vous recommandons d'utiliser un équilibreur de charge d'application externe global. Pour en savoir plus, consultez les pages Configurer un équilibreur de charge d'application classique avec App Engine et Règles SSL pour les protocoles SSL et TLS dans la documentation Cloud Load Balancing.

Mettre à jour les versions TLS autorisées pour votre application

Vous pouvez mettre à jour la version TLS à l'aide de la console Google Cloud ou de la gcloud CLI. Pour obtenir la procédure spécifique à un outil, cliquez sur l'onglet de l'outil de votre choix :

Console

  1. Dans la console Google Cloud , accédez à la page Paramètres d'App Engine :

    Accéder aux paramètres

  2. Dans l'onglet Paramètres des applications, cliquez sur Modifier les paramètres de l'application.

  3. Dans la liste Règle SSL, sélectionnez TLS 1.2 ou version ultérieure (algorithmes de chiffrement modernes). Cette sélection n'autorise que TLS version 1.2 ou ultérieure, avec des suites de chiffrement modernes. Si vous souhaitez autoriser les versions TLS moins sécurisées, telles que 1.0 et ultérieures, sélectionnez TLS 1.0+ (obsolète). Toutefois, nous vous recommandons de mettre à jour vos applications pour qu'elles utilisent la dernière version compatible de TLS.

  4. Cliquez sur Enregistrer.

gcloud

Lorsque vous créez ou mettez à jour votre application, utilisez l'option --ssl-policy pour spécifier la version TLS minimale autorisée.

Pour définir une version TLS minimale lors de la création de votre application :

gcloud app create --ssl-policy=TLS_VERSION

Pour définir une version TLS minimale lorsque vous mettez à jour votre application :

gcloud app update --ssl-policy=TLS_VERSION

Remplacez TLS_VERSION par TLS_VERSION_1_2. Cette option n'autorise que TLS version 1.2 et ultérieure, avec des suites de chiffrement modernes. Si vous souhaitez autoriser les versions TLS moins sécurisées, telles que 1.0 et ultérieures, remplacez TLS_VERSION par TLS_VERSION_1_0. Toutefois, nous vous recommandons de mettre à jour vos applications pour qu'elles utilisent la dernière version TLS prise en charge.

Désactiver les versions et algorithmes de chiffrement TLS personnalisés

Si vous mettez à jour les paramètres de votre application pour utiliser TLS version 1.2 ou ultérieure, App Engine bloque automatiquement tout le trafic non sécurisé utilisant TLS version 1.1 ou antérieure.

Si vous utilisez Cloud Load Balancing et des NEG sans serveur pour acheminer le trafic vers votre application App Engine, vous pouvez désactiver une version ou un algorithme de chiffrement TLS en définissant une règle de sécurité SSL. Spécifiez les versions et algorithmes de chiffrement TLS que les connexions HTTPS ou SSL peuvent utiliser.

Étapes suivantes