最小の TLS でアプリを保護する（標準環境）

セキュリティを強化するため、2025 年 3 月以降、Transport Layer Security（TLS）バージョン 1.1 以前のサポートは非推奨です。App Engine スタンダード環境でアプリケーション設定を更新して、TLS バージョン 1.2 以降と、対応する暗号スイートの安全なセットを使用してください。

最新の TLS バージョンを選択すると、App Engine は安全でないトラフィックを自動的にブロックします。このとき、アプリケーションにリクエストを転送するようにグローバル外部アプリケーションロードバランサを構成する必要はありません。

既存のアプリケーションをアップグレードして TLS バージョン 1.2 以降のみを使用するには、このガイドの手順に沿って操作します。

注: TLS バージョン 1.2 以降を適用するようにアプリケーション設定を更新すると、App Engine は、以前の安全性の低い TLS バージョン 1.1 以前を使用しようとする受信リクエストを自動的に拒否します。2026 年 3 月になるまでは、この拒否により TLS handshake が成功した後に 400 Bad Request - The request was malformed エラーが発生します。つまり、接続は確立されますが、リクエスト自体は拒否されます。外部の SSL チェックサイトでは、TLS ハンドシェイクの成功のみが検証され、TLS バージョン 1.1 以前がまだサポートされていると誤って示されることがあります。2026 年 3 月以降、App Engine は TLS 1.1 以前のバージョンを使用する接続で TLS handshake 自体を防止することで、より厳格なセキュリティコンプライアンスを確保します。

サポートされている TLS バージョンと暗号スイート

TLS 接続のセキュリティは、ネゴシエートされた暗号スイート（暗号アルゴリズムの組み合わせ）によって異なります。これらの暗号スイートは、次の表に示すように IANA 値で識別されます。

TLS バージョン	IANA 値	暗号スイート
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

別の暗号スイートまたは制限の緩い暗号スイートを使用する必要がある場合は、グローバル外部アプリケーションロードバランサを使用することをおすすめします。詳細については、Cloud Load Balancing ドキュメントの App Engine で従来のアプリケーションロードバランサを設定すると SSL プロトコルと TLS プロトコルの SSL ポリシーをご覧ください。

アプリで許可されている TLS バージョンを更新する

TLS バージョンは、 Google Cloud コンソールまたは gcloud CLI を使用して更新できます。ツール固有の手順については、使用するツールのタブをクリックしてください。

コンソール

Google Cloud コンソールで App Engine の [設定] ページに移動します。

[設定] に移動
[アプリケーション設定] タブで、[アプリケーションの設定を編集] をクリックします。
[SSL ポリシー] リストから、[TLS 1.2 以上（最新の暗号）] を選択します。この選択では、最新の暗号スイートを使用する TLS バージョン 1.2 以降のみが許可されます。1.0 以降など、安全性の低い TLS バージョンを許可する場合は、[TLS 1.0 以上（廃止）] を選択します。ただし、最新のサポートされている TLS バージョンを使用するようにアプリケーションを更新することをおすすめします。
[保存] をクリックします。

gcloud

アプリケーションの作成時または更新時に、--ssl-policy フラグを使用して、許可される最小 TLS バージョンを指定します。

アプリの作成時に最小 TLS バージョンを設定するには:

gcloud app create --ssl-policy=TLS_VERSION

アプリの更新時に最小 TLS バージョンを設定するには:

gcloud app update --ssl-policy=TLS_VERSION

TLS_VERSION を TLS_VERSION_1_2 に置き換えます。これにより、最新の暗号スイートを使用する TLS バージョン 1.2 以降のみが許可されます。1.0 以降など、安全性の低い TLS バージョンを許可する場合は、TLS_VERSION を TLS_VERSION_1_0 に置き換えます。ただし、最新のサポートされている TLS バージョンを使用するようにアプリケーションを更新することをおすすめします。

カスタム TLS バージョンと暗号を無効にする

TLS バージョン 1.2 以降を使用するようにアプリケーション設定を更新すると、App Engine は TLS バージョン 1.1 以前を使用する安全でないトラフィックをすべて自動的にブロックします。

Cloud Load Balancing とサーバーレス NEG を使用して App Engine アプリケーションにトラフィックをルーティングする場合は、SSL セキュリティポリシーを定義することで、TLS バージョンまたは暗号を無効にできます。HTTPS 接続または SSL 接続で使用できる TLS バージョンと暗号を指定します。

次のステップ

SSL 証明書を確認して管理するには、カスタムドメインを SSL で保護するをご覧ください。
Cloud Load Balancing によるカスタムドメインへの受信リクエストの管理を有効にするには、App Engine のカスタムドメインを Cloud Load Balancing に移行するをご覧ください。