為提升安全性,我們將於 2025 年 3 月起,淘汰傳輸層安全標準 (TLS) 1.1 版和更早的版本。在 App Engine 標準環境中更新應用程式設定,使用傳輸層安全標準 (TLS) 1.2 以上版本,以及對應的安全加密套件組合。
選取最新 TLS 版本後,App Engine 會自動封鎖不安全的流量,您不必設定全域外部應用程式負載平衡器,將要求轉送至應用程式。
如要升級現有應用程式,只使用傳輸層安全標準 (TLS) 1.2 以上版本,請按照本指南中的操作說明操作。
支援的 TLS 版本和加密套件
傳輸層安全標準 (TLS) 連線的安全性取決於協商的加密套件,也就是密碼編譯演算法的組合。這些密碼編譯套件由 IANA 值識別,詳情請見下表:
| 傳輸層安全標準 (TLS) 版本 | IANA 值 | 加密套件 |
|---|---|---|
| TLS v1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS v1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
如需使用其他或限制較少的密碼編譯套件,建議使用全域外部應用程式負載平衡器。詳情請參閱 Cloud Load Balancing 說明文件中的「使用 App Engine 設定傳統型應用程式負載平衡器」和「SSL 和 TLS 通訊協定的 SSL 政策」。
更新應用程式允許的 TLS 版本
您可以使用 Google Cloud 控制台或 gcloud CLI 更新 TLS 版本。如需特定工具的步驟,請按一下偏好工具的分頁標籤:
控制台
在 Google Cloud 控制台中,前往 App Engine 的「Settings」(設定) 頁面:
在「應用程式設定」分頁中,按一下「編輯應用程式設定」。
從「SSL Policy」(SSL 政策) 清單中,選取「TLS 1.2+ (Modern ciphers)」(TLS 1.2 以上版本 (新型加密))。 這個選項只允許使用傳輸層安全標準 (TLS) 1.2 以上版本,以及新式密碼套件。如要允許安全性較低的 TLS 版本 (例如 1.0 以上版本),請選取「TLS 1.0+ (Obsolete)」(傳輸層安全標準 (TLS) 1.0 以上版本 (過時))。不過,我們建議您更新應用程式,使用最新支援的 TLS 版本。
按一下 [儲存]。
gcloud
建立或更新應用程式時,請使用 --ssl-policy 旗標指定允許的最低 TLS 版本。
如要在建立應用程式時設定最低 TLS 版本,請按照下列步驟操作:
gcloud app create --ssl-policy=TLS_VERSION
如要在更新應用程式時設定最低 TLS 版本,請按照下列步驟操作:
gcloud app update --ssl-policy=TLS_VERSION
以 TLS_VERSION_1_2 取代 TLS_VERSION。這項設定只允許使用 TLS 1.2 以上版本,以及新式加密套件。如要允許安全性較低的 TLS 版本 (例如 1.0 以上版本),請將 TLS_VERSION 替換為 TLS_VERSION_1_0。不過,我們建議您更新應用程式,使用最新支援的 TLS 版本。
停用自訂 TLS 版本和密碼
如果您更新應用程式設定,改用 TLS 1.2 以上版本,App Engine 會自動封鎖所有使用 TLS 1.1 以下版本的不安全流量。
如果您使用 Cloud Load Balancing 和無伺服器 NEG 將流量導向 App Engine 應用程式,可以定義 SSL 安全性政策,停用 TLS 版本或密碼。指定 HTTPS 或 SSL 連線可使用的 TLS 版本和加密方式。
後續步驟
如要驗證及管理 SSL 憑證,請參閱「透過安全資料傳輸層 (SSL) 保護自訂網域」。
如要啟用 Cloud Load Balancing 來管理自訂網域的傳入要求,請參閱「將 App Engine 自訂網域遷移至 Cloud Load Balancing」。