使用最低 TLS 版本保護應用程式 (標準環境)

為提升安全性，我們將於 2025 年 3 月起，淘汰傳輸層安全標準 (TLS) 1.1 版和更早的版本。在 App Engine 標準環境中更新應用程式設定，使用傳輸層安全標準 (TLS) 1.2 以上版本，以及對應的安全加密套件組合。

選取最新 TLS 版本後，App Engine 會自動封鎖不安全的流量，您不必設定全域外部應用程式負載平衡器，將要求轉送至應用程式。

如要升級現有應用程式，只使用傳輸層安全標準 (TLS) 1.2 以上版本，請按照本指南中的操作說明操作。

支援的 TLS 版本和加密套件

傳輸層安全標準 (TLS) 連線的安全性取決於協商的加密套件，也就是密碼編譯演算法的組合。這些密碼編譯套件由 IANA 值識別，詳情請見下表：

如需使用其他或限制較少的密碼編譯套件，建議使用全域外部應用程式負載平衡器。詳情請參閱 Cloud Load Balancing 說明文件中的「使用 App Engine 設定傳統型應用程式負載平衡器」和「SSL 和 TLS 通訊協定的 SSL 政策」。

更新應用程式允許的 TLS 版本

您可以使用 Google Cloud 控制台或 gcloud CLI 更新 TLS 版本。如需特定工具的步驟，請按一下偏好工具的分頁標籤：

gcloud app create --ssl-policy=TLS_VERSION

gcloud app update --ssl-policy=TLS_VERSION

停用自訂 TLS 版本和密碼

如果您更新應用程式設定，改用 TLS 1.2 以上版本，App Engine 會自動封鎖所有使用 TLS 1.1 以下版本的不安全流量。

如果您使用 Cloud Load Balancing 和無伺服器 NEG 將流量導向 App Engine 應用程式，可以定義 SSL 安全性政策，停用 TLS 版本或密碼。指定 HTTPS 或 SSL 連線可使用的 TLS 版本和加密方式。

後續步驟

• 如要驗證及管理 SSL 憑證，請參閱「透過安全資料傳輸層 (SSL) 保護自訂網域」。

• 如要啟用 Cloud Load Balancing 來管理自訂網域的傳入要求，請參閱「將 App Engine 自訂網域遷移至 Cloud Load Balancing」。