Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ab dem 31. August 2025 unterstützt Azure Application Gateway die TLS-Versionen 1.0 und 1.1 nicht mehr. Diese Änderung steht im Einklang mit der Azure-weiten Stilllegung dieser TLS-Versionen, um die Sicherheit zu verbessern. Als Besitzer einer Application Gateway-Ressource sollten Sie die TLS-Verbindungen sowohl der Front-End-Clients als auch der Back-End-Server überprüfen, die diese älteren Versionen verwenden können.
Front-End-TLS-Verbindungen
Mit der Ausmusterung der TLS-Versionen 1.0 und 1.1 werden die älteren vordefinierten TLS-Richtlinien und bestimmte Chiffre-Suiten aus der benutzerdefinierten TLS-Richtlinie entfernt. Abhängig von der Konfiguration Ihres Gateways müssen Sie die Richtlinienzuordnung sowohl für die allgemeine TLS-Richtlinie als auch für die listenerspezifische TLS-Richtlinie überprüfen.
Allgemeine TLS-Richtlinie – Portalansicht
Listenerspezifische TLS-Richtlinie – Portalansicht
Vordefinierte Richtlinien für V2-SKUs
Die vordefinierten Richtlinien 20150501 und 20170401, die TLS v1.0 und 1.1 unterstützen, werden nicht mehr mit einer Application Gateway-Ressource nach August 2025 verknüpft. Der Wechsel zu einer der empfohlenen TLS-Richtlinien (20220101 oder 20220101S) wird empfohlen. Alternativ kann die Richtlinie 20170401S verwendet werden, wenn bestimmte Verschlüsselungssammlungen erforderlich sind.
Benutzerdefinierte Richtlinien für V2-SKUs
Azure Application Gateway V2 SKU bietet zwei Arten von benutzerdefinierten Richtlinien: Custom und CustomV2. Die Außerbetriebnahme dieser TLS-Versionen wirkt sich nur auf die Richtlinie "Benutzerdefiniert" aus. Die neuere "CustomV2"-Richtlinie unterstützt TLS v1.3 und auch v1.2. Ab August 2025 unterstützt die ältere benutzerdefinierte Richtlinie nur TLS v1.2, und die folgenden Verschlüsselungssammlungen werden nicht unterstützt.
| Nicht unterstützte Chiffre-Suiten |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Vordefinierte Richtlinien für V1-SKUs
Die V1-SKU unterstützt nur die Richtlinie 20170401S, nachdem die älteren Richtlinien mit TLS-Versionen 1.0 und 1.1 nicht mehr unterstützt werden. Die neueren 20220101- oder 20220101S-Richtlinien stehen für die bald eingestellte V1-SKU nicht zur Verfügung.
Benutzerdefinierte Richtlinien für V1-SKUs
Die V1-SKU des Anwendungsgateways unterstützt nur die ältere „benutzerdefinierte“ Richtlinie. Ab August 2025 unterstützt diese ältere benutzerdefinierte Richtlinie nur TLS v1.2, und die folgenden Verschlüsselungssammlungen werden nicht unterstützt.
| Nicht unterstützte Chiffre-Suiten |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
TLS-Back-End-Verbindungen
Sie müssen nichts auf Ihrem Anwendungsgateway für die TLS-Version der Back-End-Verbindung konfigurieren, da die Auswahl der TLS-Richtlinie keine Kontrolle über die Back-End-TLS-Verbindungen hat. Nach der Außerbetriebnahme
- Für V2-SKUs: Die Verbindungen zu den Back-End-Servern werden immer mit bevorzugtem TLS v1.3 hergestellt und mindestens mit TLS v1.2.
- Für V1-SKUs: Die Verbindungen mit Back-End-Servern sind immer mit TLS v1.2
Sie müssen sicherstellen, dass Ihre Server in den Back-End-Pools mit diesen aktualisierten Protokollversionen kompatibel sind. Diese Kompatibilität verhindert Unterbrechungen beim Herstellen einer TLS/HTTPS-Verbindung mit diesen Back-End-Servern.
Identifikationsmethoden
Metrics
Um festzustellen, ob Clients, die eine Verbindung mit Ihrer Anwendungsgateway-Ressource herstellen, TLS 1.0 oder 1.1 verwenden, verwenden Sie die Client TLS protocol vom Anwendungsgateway bereitgestellte Metrik. Weitere Informationen finden Sie in der Metrikdokumentation. Sie können es über das Portal anzeigen, indem Sie die folgenden Schritte ausführen.
- Wechseln Sie zur Anwendungsgateway-Ressource im Azure-Portal.
- Öffnen Sie im linken Menübereich das Blatt „Metriken“ im Abschnitt „Überwachung“.
- Wählen Sie die Metrik
Client TLS protocolaus der Dropdownliste aus. - Um detaillierte Protokollversionsinformationen anzuzeigen, wählen Sie "Aufteilen anwenden" und dann "TLS-Protokoll" aus.
Logs
Sie können auch die Anwendungsgatewayzugriffsprotokolle überprüfen, um diese Informationen im Protokollformat anzuzeigen.
Note
Die Metriken und Protokolle für die V1-SKUs stellen keine Client-TLS-Protokollinformationen bereit.
Fehlerinformationen
Sobald die Unterstützung für TLS-Versionen 1.0 und 1.1 eingestellt ist, treten möglicherweise Fehler auf, z. B. curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. Abhängig vom verwendeten Browser werden möglicherweise verschiedene Meldungen angezeigt, die angeben, dass TLS-Handshakefehler auftreten.
Häufig gestellte Fragen
Was bedeutet eine TLS-Standardrichtlinie?
Eine standardmäßige TLS-Richtlinie für Application Gateway ist eine gepackte Gruppe unterstützter TLS-Versionen und Verschlüsselungssammlungen. Hiermit können Kunden mit der Verwendung von gesichertem Datenverkehr beginnen, indem sie nur HTTPS- oder TLS-Listener und Back-End-Einstellungen konfigurieren, ohne dass eine zusätzliche Konfiguration für TLS-Version oder Verschlüsselungen erforderlich ist. Application Gateway verwendet eine der vordefinierten Richtlinien als Standard.
Welche Auswirkungen gibt es für die standardmäßigen TLS-Richtlinien nach der Einstellung der Legacy-TLS-Versionen 1.0 und 1.1?
Bis September 2025 verwenden V2-SKUs zwei Standard-TLS-Richtlinien basierend auf der API-Version, die während der Ressourcenbereitstellung angegeben wurde. Bereitstellungen mit API Version 2023-02-01 oder höher wenden standardmäßig AppGwSslPolicy20220101 an, während frühere API-Versionen AppGwSslPolicy20150501 verwenden.
Mit der Einstellung von TLS 1.0 und 1.1 wird die ältere AppGwSslPolicy20150501-Richtlinie nicht mehr unterstützt. Daher wird AppGwSslPolicy20220101 die Standardrichtlinie für alle V2-Gateways. Sobald diese Änderung in der Standardrichtlinie implementiert ist, wird das Konfigurationsupdate durch einen nachfolgenden PUT-Vorgang abgeschlossen.
Die Standardrichtlinie für die V1-SKU bleibt unverändert, da AppGwSslPolicy20220101 für diese bald eingestellte SKU nicht eingeführt wird.
Note
Eine Standard-TLS-Richtlinie wird nur angewendet, wenn die Option „Standard“ im Portal ausgewählt wird oder wenn keine TLS-Richtlinie innerhalb der Ressourcenkonfiguration angegeben wird, z. B. über REST, PowerShell oder AzCLI. Dementsprechend entspricht die Verwendung einer Standardrichtlinie in der Konfiguration nicht der expliziten Auswahl der
AppGwSslPolicy20150501-Richtlinie, auch wennAppGwSslPolicy20150501die Standardrichtlinie für Ihre API-Version ist.Die Änderungen werden schrittweise in allen Azure-Regionen angewendet.
Welche TLS-Richtlinien in Application Gateway werden eingestellt?
Die vordefinierten Richtlinien AppGwSslPolicy20150501 und AppGwSslPolicy20170401, die die TLS-Versionen 1.0 und 1.1 unterstützen, werden aus der Azure Resource Manager-Konfiguration entfernt. Ebenso wird die benutzerdefinierte Richtlinie die TLS-Versionen 1.0 und 1.1 zusammen mit den zugehörigen Verschlüsselungssammlungen nicht mehr unterstützen. Dies gilt sowohl für V1- als auch für V2-SKUs.
Aktualisiert das Application Gateway-Produktteam die Konfiguration automatisch auf eine unterstützte TLS-Richtlinie?
Application Gateway ändert keine Ressource mit benutzerdefinierten TLS-Konfigurationen. Nur die Standard-TLS-Richtlinie für Gateways, für die keine TLS-Richtlinie explizit festgelegt wurde oder für die keine TLS-bezogenen Einstellungen (z. B. HTTPS- oder TLS-Listener) vorhanden sind, werden automatisch aktualisiert, um AppGwSslPolicy20220101 zu verwenden.
Wechselt mein Gateway in den Statut „Fehler“?
Wenn Sie eine veraltete TLS-Richtlinie in der Konfiguration Ihres Gateways ausgewählt haben und sie nicht bis August 2025 auf eine unterstützte Richtlinie aktualisieren, wechselt Ihr Gateway beim Ausführen eines Konfigurationsupdates in den Status „Fehler“.
Eine nicht funktionsfähige TLS-Konfiguration, z. B. ein nicht mit einem Listener verknüpftes SSLProfile, hat keine Auswirkungen auf die Steuerungsebene des Gateways.
Wie ist die Veröffentlichung für diese Änderung geplant?
Angesichts des Umfangs unserer Flotte, wird nach dem 30. August 2025 die Einstellung von TLS-Versionen separat für die Steuerungs- und Datenebene implementiert. Alle regionsspezifischen Details sind nicht verfügbar. Daher empfehlen wir Ihnen dringend, schnellstmöglich alle notwendigen Maßnahmen zu ergreifen.
Gibt es potenzielle Auswirkungen, wenn ich keine TLS-Richtlinie ausgewählt habe und mein Gateway nur HTTP/TCP-Konfigurationen verwendet?
Wenn Ihr Gateway keine TLS-Konfiguration verwendet – entweder über SSLPolicy, SSLProfile, HTTPS oder TLS-Listener – gibt es nach August 2025 keine Auswirkungen.
Nächste Schritte
Informationen zu TLS-Richtlinientypen und -konfigurationen Besuchen Sie Azure Updates für Hinweis zur Außerbetriebnahme