Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le 31 août 2025, Azure Application Gateway ne prendra plus en charge les versions 1.0 et 1.1 de TLS (Transport Layer Security). Cette modification s’aligne sur la mise hors service à l’échelle d’Azure de ces versions TLS pour améliorer la sécurité. En tant que propriétaire d’une ressource Application Gateway, vous devez examiner les connexions TLS des clients frontaux et des serveurs principaux qui peuvent utiliser ces versions antérieures.
Connexions TLS front-end
Avec la dépréciation des versions 1.0 et 1.1 de TLS, les anciennes stratégies TLS prédéfinies et certaines suites de chiffrement de la stratégie TLS personnalisée sont supprimées. Selon la configuration de votre passerelle, il est nécessaire de revoir l'association de politique tant pour la politique TLS générale que pour la politique TLS spécifique à l'écouteur.
Stratégie TLS générale - Vue portail
Stratégie TLS spécifique à l'écouteur - Vue du portail
Stratégies prédéfinies pour les SKU V2
Les stratégies prédéfinies 20150501 et 20170401 qui prennent en charge TLS v1.0 et 1.1 seront supprimées et ne peuvent plus être associées à une ressource Application Gateway après août 2025. La transition vers l’une des stratégies TLS recommandées, 20220101 ou 20220101S, est recommandée. Vous pouvez également utiliser la stratégie 20170401S si des suites de chiffrement spécifiques sont requises.
Stratégies personnalisées pour les SKU V2
La référence SKU Azure Application Gateway V2 offre deux types de stratégies personnalisées : Custom et CustomV2. La mise hors service de ces versions TLS affecte uniquement la stratégie « Personnalisée ». La stratégie « CustomV2 » plus récente est fournie avec TLS v1.3 et v1.2. Au-delà d’août 2025, l’ancienne stratégie personnalisée prend uniquement en charge TLS v1.2 et les suites de chiffrement suivantes ne seront pas prises en charge.
| Suites de chiffrement non prises en charge |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Stratégies prédéfinies pour les références SKU V1
La référence SKU V1 prend uniquement en charge la stratégie 20170401S après la suppression des anciennes stratégies avec TLS versions 1.0 et 1.1. Les stratégies plus récentes 20220101 ou 20220101S ne seront pas disponibles pour la référence SKU V1 bientôt mise hors service.
Stratégies personnalisées pour les références SKU V1
La référence SKU Application Gateway V1 prend uniquement en charge l’ancienne stratégie « Personnalisée ». Au-delà d’août 2025, cette stratégie personnalisée plus ancienne prend uniquement en charge TLS v1.2 et les suites de chiffrement suivantes ne seront pas prises en charge.
| Suites de chiffrement non prises en charge |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Connexions TLS principales
Vous n’avez pas besoin de configurer quoi que ce soit sur votre application Gateway pour la version TLS de la connexion back-end, car la sélection de la stratégie TLS n’a aucun contrôle sur les connexions TLS principales. Après la retraite,
- Pour les références SKU V2 : les connexions aux serveurs principaux seront toujours établies avec TLS v1.3 préféré et au minimum TLS v1.2.
- Pour les références SKU V1 : les connexions aux serveurs principaux seront toujours avec TLS v1.2
Vous devez vous assurer que vos serveurs dans les pools principaux sont compatibles avec ces versions de protocole mises à jour. Cette compatibilité évite toute interruption lors de l’établissement d’une connexion TLS/HTTPS avec ces serveurs principaux.
Méthodes d’identification
Metrics
Pour déterminer si les clients se connectant à votre ressource Application Gateway utilisent TLS 1.0 ou 1.1, utilisez la Client TLS protocol métrique fournie par Application Gateway. Pour plus d’informations, consultez la documentation sur les métriques. Vous pouvez l’afficher depuis le portail en suivant ces étapes.
- Accédez à la ressource Application Gateway dans le portail Azure.
- Dans le volet du menu de gauche, ouvrez le panneau « Métriques » dans la section Surveillance.
- Sélectionnez la métrique comme
Client TLS protocoldans la liste déroulante. - Pour afficher les informations de version de protocole granulaires, sélectionnez « Appliquer le fractionnement » et choisissez « Protocole TLS ».
Logs
Vous pouvez également vérifier les journaux d’accès Application Gateway pour afficher ces informations sous forme de journal.
Note
Les métriques et les journaux des référence SKU V1 ne fournissent pas d’informations sur le protocole TLS client.
Informations sur l'erreur
Une fois la prise en charge de TLS versions 1.0 et 1.1 supprimées, les clients peuvent rencontrer des erreurs telles que curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. Selon le navigateur utilisé, différents messages indiquant les échecs d'établissement de liaison TLS peuvent s’afficher.
Questions fréquentes (FAQ)
Que signifie une stratégie TLS par défaut ?
Une stratégie TLS par défaut pour Application Gateway est un ensemble empaqueté de versions et de suites de chiffrement TLS prises en charge. Cela permet aux clients de commencer à utiliser le trafic sécurisé en configurant uniquement les écouteurs HTTPS ou TLS et les paramètres back-end, sans aucune configuration supplémentaire pour la version ou les chiffrements TLS. Application Gateway utilise l’une de ses stratégies prédéfinies par défaut.
Quel sera l’impact des stratégies TLS par défaut après la mise hors service des versions TLS héritées 1.0 et 1.1 ?
Jusqu’en septembre 2025, les références SKU V2 utilisent deux stratégies TLS par défaut basées sur la version d’API spécifiée lors du déploiement des ressources. Les déploiements utilisant la version d’API 2023-02-01 ou ultérieure appliquent AppGwSslPolicy20220101 par défaut, tandis que les versions d’API antérieures utilisent AppGwSslPolicy20150501.
Avec la dépréciation de TLS 1.0 et 1.1, l’ancienne stratégie AppGwSslPolicy20150501 sera abandonnée. Par conséquent, AppGwSslPolicy20220101 deviendra la stratégie par défaut pour toutes les passerelles V2. Une fois cette modification de la stratégie par défaut implémentée, une opération PUT suivante termine la mise à jour de configuration.
La stratégie par défaut pour la référence SKU V1 reste inchangée, car AppGwSslPolicy20220101 ne sera pas introduit pour cette référence SKU mise hors service.
Note
Une stratégie TLS par défaut est appliquée uniquement lorsque l’option « Par défaut » est sélectionnée dans le portail ou lorsqu’aucune stratégie TLS n’est spécifiée dans la configuration des ressources par des moyens tels que REST, PowerShell ou AzCLI. Par conséquent, l’utilisation d’une stratégie par défaut dans la configuration n’est pas identique à la sélection explicite d’une stratégie
AppGwSslPolicy20150501, même siAppGwSslPolicy20150501est la stratégie par défaut pour votre version d’API.Les modifications seront appliquées progressivement dans toutes les régions Azure.
Quelles stratégies TLS dans Application Gateway sont déconseillées ?
Les stratégies prédéfinies AppGwSslPolicy20150501 et AppGwSslPolicy20170401 qui prennent en charge les versions TLS 1.0 et 1.1 seront supprimées de la configuration Azure Resource Manager. De même, la stratégie personnalisée cessera de prendre en charge les versions TLS 1.0 et 1.1 ainsi que leurs suites de chiffrement associées. Cela s’applique aux références SKU V1 et V2.
L’équipe de produit Application Gateway mettra-t-elle automatiquement à jour la configuration vers une stratégie TLS prise en charge ?
Application Gateway ne modifiera aucune ressource ayant des configurations TLS définies par le client. Seule la stratégie TLS par défaut pour les passerelles qui n’ont pas défini explicitement de stratégie TLS ou qui n’ont pas de paramètres TLS (tels que les écouteurs HTTPS ou TLS) sera automatiquement mise à jour pour utiliser AppGwSslPolicy20220101.
Ma passerelle va-t-elle passer à l’état Échec ?
Si vous avez choisi une stratégie TLS déconseillée dans la configuration de votre passerelle et que vous ne la mettez pas à jour vers une stratégie prise en charge d’ici août 2025, votre passerelle passe à l’état Échec lors de l’exécution d’une mise à jour de configuration.
Une configuration TLS non fonctionnelle, telle qu’un SSLProfile non lié à un écouteur, n’aura aucun impact sur le plan de contrôle de la passerelle.
Comment la publication de cette modification est-elle planifiée ?
Compte tenu de l’échelle de notre flotte, après le 30 août 2025, la dépréciation des versions TLS sera implémentée séparément pour les plans Contrôle et Données. Les détails spécifiques à une région ne seront pas disponibles. Par conséquent, nous vous conseillons vivement d’effectuer toutes les actions nécessaires au plus tôt.
Y a-t-il un impact potentiel si je n’ai sélectionné aucune stratégie TLS et que ma passerelle utilise uniquement des configurations HTTP/TCP ?
Si votre passerelle n’utilise aucune configuration TLS (via SSLPolicy, SSLProfile, HTTPS ou écouteurs TLS), il n’y aura aucun impact après août 2025.
Étapes suivantes
En savoir plus sur les types et configurations de stratégie TLS Visitez les mises à jour Azure pour la mise hors service