Questa pagina è stata tradotta dall'API Cloud Translation.

Proteggi la tua app con TLS minimo (ambiente flessibile)

Per aumentare la sicurezza, a partire da marzo 2025, il supporto per Transport Layer Security (TLS) versione 1.1 e precedenti verrà ritirato. Aggiorna le impostazioni dell'applicazione nell'ambiente flessibile App Engine per utilizzare TLS versione 1.2 e successive, insieme a un insieme sicuro corrispondente di suite di crittografia.

Quando selezioni l'ultima versione di TLS, App Engine blocca automaticamente il traffico non sicuro, senza richiedere di configurare un bilanciatore del carico delle applicazioni esterno globale per instradare le richieste alla tua applicazione.

Per eseguire l'upgrade delle applicazioni esistenti in modo che utilizzino solo TLS versione 1.2 e successive, segui le istruzioni riportate in questa guida.

Nota: se aggiorni le impostazioni dell'applicazione per applicare TLS versione 1.2 e successive, App Engine rifiuta automaticamente le richieste in entrata che tentano di utilizzare versioni TLS precedenti, meno sicure, 1.1 e precedenti. Prima di marzo 2026, questo rifiuto causa un errore 400 Bad Request - The request was malformed dopo un handshake TLS riuscito, il che significa che la connessione è stabilita, ma la richiesta stessa viene negata. I siti esterni di controllo SSL potrebbero verificare solo un handshake TLS riuscito e dedurre erroneamente che le versioni TLS 1.1 e precedenti sono ancora supportate. Dopo marzo 2026, App Engine garantisce una conformità alla sicurezza più rigorosa impedendo l'handshake TLS stesso per le connessioni che utilizzano TLS versione 1.1 e precedenti.

Versioni TLS e suite di crittografia supportate

La sicurezza delle connessioni TLS dipende dalla suite di crittografia negoziata, una combinazione di algoritmi crittografici. Queste suite di crittografia sono identificate dai valori IANA, come descritto in dettaglio nella tabella seguente:

Versione TLS	Valore IANA	Suite di crittografia
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Se devi utilizzare una suite di crittografia diversa o meno restrittiva, ti consigliamo di utilizzare un bilanciatore del carico delle applicazioni esterno globale. Per ulteriori informazioni, consulta Configurare un bilanciatore del carico delle applicazioni classico con App Engine e Criteri SSL per i protocolli SSL e TLS nella documentazione di Cloud Load Balancing.

Aggiornare le versioni TLS consentite per la tua app

Puoi aggiornare la versione TLS utilizzando la console Google Cloud o gcloud CLI. Per i passaggi specifici dello strumento, fai clic sulla scheda dello strumento che preferisci:

Console

Nella console Google Cloud , vai alla pagina Impostazioni di App Engine:

Vai alle impostazioni
Nella scheda Impostazioni applicazione, fai clic su Modifica impostazioni applicazione.
Nell'elenco SSL Policy (Criterio SSL), seleziona TLS 1.2+ (Modern ciphers) (TLS 1.2 e versioni successive (algoritmi di crittografia moderni)). Questa selezione consente solo TLS versione 1.2 e successive, con suite di crittografia moderne. Se vuoi consentire versioni TLS meno sicure, come la 1.0 e successive, seleziona TLS 1.0+ (obsoleto). Tuttavia, ti consigliamo di aggiornare le applicazioni in modo da utilizzare l'ultima versione TLS supportata.
Fai clic su Salva.

gcloud

Quando crei o aggiorni l'applicazione, utilizza il flag --ssl-policy per specificare la versione TLS minima consentita.

Per impostare una versione TLS minima durante la creazione dell'app:

gcloud app create --ssl-policy=TLS_VERSION

Per impostare una versione TLS minima durante l'aggiornamento dell'app:

gcloud app update --ssl-policy=TLS_VERSION

Sostituisci TLS_VERSION con TLS_VERSION_1_2. Consente solo TLS versione 1.2 e successive, con suite di crittografia moderne. Se vuoi consentire una versione TLS meno sicura, ad esempio 1.0 e versioni successive, sostituisci TLS_VERSION con TLS_VERSION_1_0. Tuttavia, ti consigliamo di aggiornare le tue applicazioni in modo che utilizzino l'ultima versione di TLS supportata.

Disattiva le versioni e le crittografie TLS personalizzate

Se aggiorni le impostazioni dell'applicazione in modo da utilizzare TLS versione 1.2 e successive, App Engine blocca automaticamente tutto il traffico non sicuro che utilizza TLS versione 1.1 e precedenti.

Se utilizzi Cloud Load Balancing e NEG serverless per indirizzare il traffico alla tua applicazione App Engine, puoi disattivare una versione TLS o una suite di crittografia definendo un'SSL security policy. Specifica le versioni TLS e le suite di crittografia che possono essere utilizzate dalle connessioni HTTPS o SSL.

Passaggi successivi

Per verificare e gestire i certificati SSL, consulta Protezione dei domini personalizzati con SSL.
Per consentire a Cloud Load Balancing di gestire le richieste in entrata al tuo dominio personalizzato, consulta Migrare il dominio personalizzato di App Engine a Cloud Load Balancing.