Python 2.7 ha raggiunto la fine del supporto e verrà ritirato il 31 gennaio 2026. Dopo il ritiro, non potrai eseguire il deployment di applicazioni Python 2.7, anche se la tua organizzazione ha utilizzato in precedenza un criterio dell'organizzazione per riattivare i deployment di runtime legacy. Le tue applicazioni Python 2.7 esistenti continueranno a essere eseguite e a ricevere traffico dopo la data di ritiro. Ti consigliamo di eseguire la migrazione all'ultima versione supportata di Python.

Questa pagina è stata tradotta dall'API Cloud Translation.

Protezione dei domini personalizzati con SSL

Il supporto SSL di App Engine offre endpoint SSL distribuiti a livello globale e bilanciamento del carico integrato per pubblicare la tua app in modo sicuro, affidabile e veloce per un pubblico mondiale.

Per impostazione predefinita, le connessioni HTTPS sul tuo dominio personalizzato vengono attivate automaticamente utilizzando certificati SSL gestiti. Dopo aver mappato un dominio personalizzato alla tua applicazione e aggiornato i record DNS, App Engine esegue il provisioning di un certificato SSL gestito, lo rinnova e lo revoca quando rimuovi il dominio personalizzato dalla tua applicazione.

Prima di iniziare

Assicurati di aver già configurato il tuo dominio personalizzato nel tuo progetto App Engine.
Se utilizzi Cloud Load Balancing e NEG serverless per instradare il traffico alla tua app App Engine, ti consigliamo di mappare il tuo dominio personalizzato al bilanciatore del carico anziché direttamente alla tua app e di utilizzare certificati SSL creati per il bilanciatore del carico. In questo modo non è più necessario gestire certificati SSL separati per ogni app serverless. Inoltre, con Cloud Load Balancing puoi impostare policy SSL che controllano le funzionalità di SSL che il bilanciatore del carico negozia con i client. Per maggiori informazioni, consulta le seguenti pagine:
Tieni presente la seguente limitazione:
- Ti consigliamo di utilizzare i controlli di ingresso in modo che la tua app riceva solo le richieste inviate dal bilanciamento del carico (e dal VPC, se lo utilizzi). In caso contrario, gli utenti possono utilizzare l'URL App Engine della tua app per bypassare il bilanciatore del carico, i criteri di sicurezza di Cloud Armor, i certificati SSL e le chiavi private che vengono passati tramite il bilanciatore del carico.

Verificare un certificato gestito

Dopo aver configurato il dominio personalizzato e aggiornato i record DNS, un certificato SSL gestito viene fornito automaticamente entro pochi minuti. La selezione dell'autorità di certificazione è automatica; il certificato gestito è firmato da Google Trust Services (GTS) o Let's Encrypt.

Per verificare che il certificato sia stato sottoposto a provisioning:

Nella console Google Cloud , vai a App Engine > Impostazioni > Domini personalizzati:

Vai a Domini personalizzati
La sicurezza SSL viene visualizzata come gestita da Google.

Risolvere i problemi relativi ai certificati SSL gestiti

Potresti dover aggiornare i record DNS per il tuo dominio personalizzato per verificare il tuo nome di dominio. App Engine non può eseguire il provisioning dei certificati per domini non verificati.
Puoi controllare lo stato del certificato con l'API Admin utilizzando una richiesta AuthorizedCertificate.GET.
Se un certificato gestito non è stato sottoposto a provisioning perché i record DNS non sono disponibili, il campo ManagedCertificate.ManagementStatus potrebbe essere FAILED_RETRYING_NOT_VISIBLE. Verifica che i record DNS siano aggiornati, attendi qualche minuto e riprova. Possono essere necessarie fino a 24 ore prima che i record DNS diventino disponibili.
Se lo stato è FAILED_PERMANENT, tutti i tentativi di rinnovo non sono andati a buon fine. Controlla le impostazioni DNS, quindi aggiorna la mappatura del dominio personalizzato seguendo i passaggi per l'aggiornamento ai certificati SSL gestiti.

Esegui l'upgrade ai certificati SSL gestiti

Prima di eseguire l'upgrade ai certificati SSL gestiti da Google, tieni presente che i certificati gestiti non supportano i mapping con caratteri jolly.

Se utilizzi sottodomini e il certificato è emesso da Let's Encrypt, esiste un limite di 50 certificati gestiti a settimana per ogni dominio di base. Se raggiungi il limite, App Engine continua a tentare di emettere certificati gestiti finché tutte le richieste non sono state soddisfatte.

Per passare dai tuoi certificati SSL a quelli gestiti da Google o per aggiungere certificati SSL gestiti a un'app esistente con un dominio personalizzato, aggiorna la mappatura del dominio:

Nella console Google Cloud , vai a App Engine > Impostazioni > Domini personalizzati:

Vai a Domini personalizzati
Seleziona il dominio che vuoi proteggere e fai clic su Attiva sicurezza gestita.

Disattivare i certificati SSL gestiti

Per disattivare i certificati SSL gestiti:

Nella console Google Cloud , vai a App Engine > Impostazioni > Domini personalizzati:

Vai a Domini personalizzati
Seleziona il dominio e fai clic su Disattiva sicurezza gestita.

Utilizzo dei tuoi certificati SSL

Anziché utilizzare certificati SSL gestiti, puoi utilizzare il tuo certificato. Se il tuo certificato non ha una prova di trasparenza, la tua app potrebbe mostrare avvisi SSL in Chrome a causa dell'applicazione della prova di trasparenza del certificato. Per ulteriori informazioni sulle prove di Certificate Transparency e su come rispettare le norme, leggi Applicazione forzata di Certificate Transparency.

Per utilizzare e gestire i tuoi certificati SSL anziché quelli gestiti da Google:

Assicurati di aver già configurato il tuo dominio personalizzato nel progetto App Engine.
Disattiva i certificati gestiti da Google predefiniti.
Ottieni un certificato per il tuo dominio dall'autorità di certificazione (CA) che preferisci. La procedura esatta può variare a seconda dell'autorità, ma consulta la sezione Ottenere un certificato per i passaggi tipici.
Converti i file della chiave privata e del certificato SSL in formati supportati da App Engine. Prima di poter caricare i file, la chiave privata deve essere convertita in una chiave privata RSA e i certificati SSL devono essere concatenati in un unico file. Per ulteriori informazioni, vedi Convertire le chiavi private e concatenare i certificati SSL.
Assicurati di disporre delle autorizzazioni corrette nella consoleGoogle Cloud e di aver verificato la proprietà (passaggio 3) di tutti i domini correlati o dei relativi domini padre. Ad esempio:
- Se il certificato è per www.example.com, puoi verificare la proprietà di www.example.com o example.com.
- Se il certificato è per www.example.com e sub.example.com, puoi verificare la proprietà di www.example.com e sub.example.com o di example.com.
- Se il certificato è per *.example.com, devi verificare la proprietà di example.com.
Carica la chiave privata e il certificato SSL, quindi mappa il dominio sulla tua app:
1. Nella console Google Cloud , vai a App Engine > Impostazioni > Certificati SSL:
  
  Vai a Certificati SSL
2. Fai clic su Carica un nuovo certificato.
3. Carica il certificato SSL concatenato in PEM encoded X.509 public key certificate, ad esempio concat.crt, poi carica la chiave privata RSA in Chiave privata RSA codificata PEM non crittografata, ad esempio myserver.key.pem.
4. Fai clic su Carica. Ogni certificato SSL che carichi è visibile e disponibile per l'utilizzo da parte di tutti gli altri progetti Google Cloud , in modo da non dover caricare lo stesso certificato più volte.
  Nota: se carichi un certificato SSL ma non lo assegni mai a un dominio, questo certificato viene eliminato automaticamente dopo 30 giorni.
5. Seleziona il certificato che vuoi assegnare a un dominio e fai clic su Salva per utilizzare SSL per quel dominio.
Testa le modifiche visitando il tuo dominio nel browser utilizzando https, ad esempio https://www.example.com.

Nota: una volta caricata, la chiave privata viene archiviata in modo sicuro su Google e non può essere visualizzata.

Trasferire i mapping da un certificato di pubblicazione a un nuovo certificato

Quando un certificato si avvicina alla data di scadenza, dovrai caricare un nuovo certificato e trasferire i mapping esistenti del vecchio certificato a quello nuovo. La seguente procedura presuppone che il certificato esistente non sia ancora scaduto e che attualmente serva il tuo dominio personalizzato.

Per trasferire i mapping da un certificato attivo:

Ottieni un nuovo certificato per il tuo dominio dall'autorità di certificazione (CA) di tua scelta. Per i passaggi tipici, vedi Ottenere un certificato.
Converti i file della chiave privata e del certificato SSL in formati supportati da App Engine. Per maggiori dettagli, vedi Convertire le chiavi private e concatenare i certificati SSL.
Carica la chiave privata RSA e il certificato SSL concatenato:
1. Carica il certificato SSL nella pagina Certificati SSL.
  Vai a Certificati SSL
  1. Fai clic su Carica un nuovo certificato.
  2. Carica il certificato SSL concatenato in Certificato di chiave pubblica X.509 con codifica PEM, ad esempio concat.crt, poi carica la chiave privata RSA in Chiave privata RSA codificata PEM non crittografata, ad esempio myserver.key.pem.
  3. Fai clic su Carica.
2. Seleziona il nuovo certificato appena aggiunto dall'elenco dei certificati, quindi seleziona il dominio gestito dal vecchio certificato.
3. Fai clic su Salva per trasferire i mapping dal vecchio certificato a quello nuovo.

Ottenere un certificato

La procedura per ottenere un certificato SSL varia a seconda dell'autorità di certificazione che utilizzi. Le istruzioni fornite qui potrebbero dover essere leggermente modificate. In genere, ogni autorità di certificazione fornisce istruzioni per aiutarti durante la procedura.

Per ottenere un certificato da utilizzare con la tua app App Engine:

Genera la chiave privata e una richiesta di firma del certificato (CSR) utilizzando lo strumento openssl:
1. Esegui questo comando da una directory in cui vuoi creare il file server.csr:
```
openssl req -nodes -newkey rsa:2048 -keyout [MY_PRIVATE_KEY].key -out [MY_CSR].csr
```
  dove:
  - [MY_PRIVATE_KEY].key è il file generato in cui è archiviata la chiave privata. Esempio: myserver.key
  - [MY_CSR].csr è il file generato per la richiesta di firma del certificato. Esempio: server.csr
2. Quando richiesto, inserisci le seguenti informazioni:
  - Il codice paese di due cifre, ad esempio US per gli Stati Uniti.
  - Il nome della tua città.
  - Il nome della tua azienda. Se non hai un'azienda, puoi utilizzare il tuo nome.
  - La tua unità organizzativa o NA se non ce l'hai.
  - Un nome comune che rappresenta il tuo dominio, ad esempio: www.example.com
  - Il tuo indirizzo email.
  Non è necessario fornire nessuno degli altri valori, sono tutti facoltativi.
Determina quale autorità di certificazione è più adatta alle tue esigenze e acquista un certificato. Ad esempio, puoi utilizzare: SSLMate, Thawte, Comodo o qualsiasi altra autorità di certificazione.

Per informazioni dettagliate sui tipi di certificati supportati, consulta Supporto dei certificati SSL di App Engine.
Quando la CA richiede i contenuti del file CSR, segui le istruzioni per copiare e incollare i contenuti dal file .csr che hai generato in precedenza, ad esempio server.csr.
Segui le istruzioni quando la CA richiede l'approvazione del proprietario del dominio.

Suggerimento: il metodo di approvazione tramite email potrebbe essere il più semplice da utilizzare. Dovrai configurare un indirizzo email nell'account del dominio, ad esempio admin@example.com, in modo da poter ricevere e rispondere alla richiesta di approvazione della CA.
Nota: dopo aver inviato la richiesta del certificato, potrebbero essere necessari alcuni giorni prima di ricevere il certificato effettivo dalla CA.
Dopo che hai fornito l'approvazione del proprietario del dominio, l'autorità di certificazione ti invia il certificato, che in genere è un file zip. Decomprimi il file in una directory di lavoro in modo da poter concatenare i certificati per il caricamento su App Engine.

Convertire le chiavi private e concatenare i certificati SSL

Devi convertire la chiave privata in una chiave privata RSA e concatenare tutti i certificati SSL prima di caricare la chiave privata e i certificati SSL in App Engine.

Converti il file della chiave privata che hai generato in precedenza in una chiave privata RSA non criptata. Ad esempio, puoi eseguire il seguente comando openssl rsa:
```
openssl rsa -in [MY_PRIVATE_KEY].key -out [MY_RSA_KEY].key.pem
```
dove:
- [MY_PRIVATE_KEY].key è il file generato che contiene la chiave privata. Esempio: myserver.key
- [MY_RSA_KEY].key è il file generato che contiene la chiave privata RSA non criptata. Esempio: myserver.key.pem
  
  Esempio:
```
openssl rsa -in myserver.key -out myserver.key.pem
```
Concatena tutti i file .crt della tua CA in un unico file utilizzando il seguente comando:
```
cat [MY_DOMAIN_CERT].crt [MY_SecureServerCA].crt [MY_TrustCA].crt [MY_TrustExternalCARoot].crt > [MY_CONCAT_CERT].crt
```
dove
- [MY_DOMAIN_CERT].crt è il certificato per il tuo dominio. Esempio: www_example_com.crt
- [MY_SecureServerCA].crt, [MY_TrustCA].crt e [MY_TrustExternalCARoot].crt sono gli altri file di certificato forniti dalla tua autorità di certificazione.
- [MY_CONCAT_CERT].crt è il file concatenato che contiene tutti i file di certificato .crt della tua CA. Esempio: concat.crt
  
  Esempio:
```
cat www_example_com.crt AddTrustExternalCARoot.crt RSADomainValidationSecureServerCA.crt RSAAddTrustCA.crt > concat.crt
```
Verifica il certificato SSL e la chiave privata:
1. Per verificare che la chiave privata e il certificato corrispondano, puoi utilizzare i comandi openssl x509 e openssl rsa. Esempi:
```
openssl x509 -noout -modulus -in concat.crt | openssl md5
openssl rsa -noout -modulus -in myserver.key.pem | openssl md5
```
  I comandi openssl x509 e openssl rsa devono restituire lo stesso output.
2. Per verificare che un certificato e la relativa catena CA siano validi, puoi utilizzare il comando openssl verify. Ad esempio:
```
openssl verify -verbose -CAfile concat.crt concat.crt
```
Quando è tutto pronto, puoi caricare la chiave privata RSA e i certificati concatenati su App Engine.

Supporto di App Engine per i certificati SSL

App Engine supporta i seguenti tipi di certificati:

Singolo dominio/nome host
Autofirmato
Jolly
Nome alternativo del soggetto (SAN) / Multi-domain

Richiede alcune informazioni su certificati e chiavi:

La chiave privata e il certificato devono essere caricati in formato PEM.
Le chiavi private non devono essere criptate.
Un file di certificato può contenere al massimo cinque certificati; questo numero include certificati concatenati e intermedi.
Tutti i nomi del soggetto nel certificato host devono corrispondere o essere sottodomini dei domini verificati dell'utente.
Le chiavi private devono utilizzare la crittografia RSA.
Modulo della chiave massimo consentito: 2048 bit

Se il certificato host richiede un certificato intermedio o concatenato, come emesso da molte autorità di certificazione (CA), devi aggiungere i certificati intermedi o concatenati alla fine del file del certificato pubblico.

Alcune funzionalità di App Engine utilizzano sottodomini speciali. Ad esempio, un'applicazione può utilizzare i sottodomini per indirizzare i servizi dell'applicazione o per indirizzare diverse versioni dell'applicazione. Per utilizzarli con SSL, è consigliabile configurare un certificato SAN o jolly. I certificati con caratteri jolly supportano solo un livello di sottodominio.

Rimuovere i certificati SSL personalizzati

Per interrompere l'utilizzo di un certificato SSL personalizzato, segui questi passaggi:

Nella console Google Cloud , vai alla pagina Impostazioni dei certificati SSL di App Engine.

Vai alle impostazioni del certificato SSL
Fai clic sul certificato che vuoi rimuovere dal tuo dominio.
Deseleziona il nome di dominio per cui non vuoi più utilizzare il certificato SSL, quindi fai clic su Salva.

Utilizzare le intestazioni Strict-Transport-Security

Per motivi di sicurezza, tutte le applicazioni devono incoraggiare i client a utilizzare connessioni https. Per indicare al browser di preferire https a http, utilizza l'intestazione Strict-Transport-Security.

Visualizza le versioni e le crittografie TLS attive

Installa nmap Network Mapper sul computer, se non è già disponibile. Per le istruzioni di installazione, visita la pagina https://nmap.org/.
Per vedere quali versioni TLS e quali cifrari sono abilitati per la tua app, inserisci il seguente comando:

nmap -sV --script ssl-enum-ciphers -p 443 HOSTNAME

Sostituisci HOSTNAME con il nome host della tua app. Puoi utilizzare il tuo dominio personalizzato o il nome host appspot.com creato da App Engine per la tua app. Ad esempio:

nmap -sV --script ssl-enum-ciphers -p 443 example.uc.r.appspot.com

Disattiva le versioni e le cifrature TLS

Se utilizzi Cloud Load Balancing e NEG serverless per indirizzare il traffico alla tua app App Engine, puoi disattivare una versione TLS o una suite di crittografia definendo un'SSL security policy che specifica quali versioni TLS e suite di crittografia possono essere utilizzate per le connessioni HTTPS o SSL.