Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 28 juillet 2025, les modifications apportées aux certificats managés App Service (ASMC) affectent la façon dont les certificats sont émis et renouvelés dans certains scénarios. Bien que la plupart des clients n’ont pas besoin d’agir, nous vous recommandons de consulter notre billet de blog détaillé ASMC pour plus d’informations.
Tls (Transport Layer Security) est un protocole de sécurité largement adopté conçu pour sécuriser les connexions et les communications entre les serveurs et les clients. Dans Azure App Service, vous pouvez utiliser des certificats TLS et SSL (Secure Sockets Layer) pour sécuriser les requêtes entrantes dans vos applications Web.
App Service prend en charge TLS pour garantir :
- Chiffrement des données en transit.
- Authentification des applications web via des certificats approuvés.
- Prévention des falsifications des données pendant la transmission.
Conseil
Vous pouvez également poser ces questions à Azure Copilot :
- Quelles versions de TLS sont prises en charge dans App Service ?
- Quels sont les avantages de l’utilisation de TLS 1.3 par rapport aux versions antérieures ?
- Comment puis-je modifier l’ordre des suites de chiffrement pour mon environnement App Service ?
Dans l’en-tête de page du Portail Microsoft Azure, sélectionnez Copilot.
Prise en charge des versions TLS
App Service prend en charge les versions TLS suivantes pour les requêtes entrantes adressées à votre application web :
- TLS 1.3. La dernière version et la plus sécurisée, désormais entièrement prise en charge.
- TLS 1.2. Version TLS minimale par défaut pour les nouvelles applications web.
- TLS 1.1 et TLS 1.0. Versions prises en charge pour la compatibilité descendante, mais non recommandées.
Vous pouvez configurer la version TLS minimale pour les requêtes entrantes vers votre application Web et son site Source Control Manager (SCM). Par défaut, le minimum est défini sur TLS 1.2.
Azure Policy peut vous aider à auditer vos ressources et la version minimale de TLS. Accéder aux applications App Service doivent utiliser la dernière définition de stratégie de version TLS et modifier les valeurs en fonction de la version TLS minimale que vous souhaitez que vos applications Web utilisent. Pour plus d’informations sur les définitions de stratégie associées pour d’autres ressources App Service, consultez la liste des définitions de stratégie intégrées - Azure Policy pour App Service.
TLS 1.3
TLS 1.3 est entièrement pris en charge sur App Service et introduit plusieurs améliorations par rapport à TLS 1.2 :
- Sécurité renforcée, avec des suites de chiffrement simplifiées et une confidentialité persistante.
- Accélération des handshakes pour réduire la latence.
- Messages d'échange chiffrés pour une confidentialité améliorée.
Pour exiger TLS 1.3 pour toutes les requêtes entrantes, définissez Version TLS entrante minimale sur TLS 1.3 dans le Portail Microsoft Azure, l’interface de ligne de commande Azure ou votre modèle Azure Resource Manager (modèle ARM).
TLS 1.3 prend en charge les suites de chiffrement suivantes, qui sont fixes et ne peuvent pas être personnalisées :
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Ces suites fournissent un cryptage puissant et sont automatiquement utilisées lorsque TLS 1.3 est négocié.
TLS 1.2
TLS 1.2 est la version TLS par défaut pour App Service. Il fournit un chiffrement fort et une compatibilité étendue et répond aux normes de conformité comme la norme pci DSS (Payment Card Industry Data Security Standard). Par défaut, les nouvelles applications web et les points de terminaison SCM utilisent TLS 1.2, sauf si vous les modifiez.
App Service utilise un ensemble sécurisé de suites de chiffrement TLS 1.2 pour garantir les connexions chiffrées et protéger contre les vulnérabilités connues. Bien que vous puissiez activer TLS 1.1 et TLS 1.0 pour la compatibilité descendante, nous vous recommandons d’utiliser TLS 1.2 ou version ultérieure.
TLS 1.1 et TLS 1.0
TLS 1.1 et TLS 1.0 sont des protocoles hérités et ne sont plus considérés comme sécurisés. Ces versions sont prises en charge sur App Service uniquement pour la compatibilité descendante et doivent être évitées si possible. La version TLS minimale par défaut pour les nouvelles applications est TLS 1.2, et nous vous recommandons de migrer les applications qui utilisent TLS 1.1 ou TLS 1.0.
Important
Les requêtes entrantes vers les applications Web et les requêtes entrantes vers Azure sont traitées différemment. App Service continue de prendre en charge TLS 1.1 et TLS 1.0 pour les requêtes entrantes vers les applications Web.
Pour les requêtes entrantes adressées directement au plan de contrôle Azure, par exemple, via des appels d’API ou Azure Resource Manager, nous vous déconseillons d’utiliser TLS 1.1 ou TLS 1.0.
Suite de chiffrement TLS minimale
Remarque
Le paramètre Suite de chiffrement TLS minimale est pris en charge sur les références SKU de base ou supérieures sur App Service multilocataire.
La suite de chiffrement TLS minimale inclut une liste fixe de suites de chiffrement qui ont un ordre de priorité optimal que vous ne pouvez pas modifier. Nous vous déconseillons de réorganiser ou de réorienter les suites de chiffrement, car cela pourrait permettre un chiffrement plus faible sur vos applications web. Vous ne pouvez pas non plus ajouter de suites de chiffrement nouvelles ou différentes à cette liste. Lorsque vous sélectionnez une suite de chiffrement minimale, le système bloque automatiquement toutes les suites de chiffrement moins sécurisées pour votre application web. Vous ne pouvez pas bloquer sélectivement seulement certaines suites de chiffrement plus faibles.
Que sont les suites de chiffrement et comment fonctionnent-elles sur App Service ?
Une suite de chiffrement est un ensemble d'instructions contenant des algorithmes et des protocoles pour aider à sécuriser les connexions réseau entre les clients et les serveurs. Par défaut, le système d’exploitation frontal choisit la suite de chiffrement la plus sécurisée prise en charge par App Service et le client. Toutefois, si le client prend uniquement en charge les suites de chiffrement faibles, le système d’exploitation frontal choisit une suite de chiffrement faible. Si votre organisation restreint les suites de chiffrement autorisées, vous pouvez mettre à jour la propriété minimale de la suite de chiffrement TLS de votre application web pour vous assurer que les suites de chiffrement faibles sont bloquées pour votre application web.
App Service Environment avec paramètre de cluster FrontEndSSLCipherSuiteOrder
Pour les environnements App Service pour lesquels le paramètre de cluster FrontEndSSLCipherSuiteOrder est configuré, mettez à jour vos paramètres pour inclure les deux suites de chiffrement TLS 1.3 :
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Après avoir mis à jour les paramètres de votre cluster, vous devez redémarrer votre serveur frontal pour que les modifications prennent effet. En outre, vous devez toujours inclure les deux suites de chiffrement requises décrites précédemment, même lorsque vous mettez à jour les paramètres pour prendre en charge TLS 1.3. Si vous utilisez FrontEndSSLCipherSuiteOrderdéjà, nous vous déconseillons d’activer la suite de chiffrement TLS minimale pour votre application web. Le résultat pourrait être des configurations conflictuelles. Configurez une seule de ces options pour gérer les préférences de la suite de chiffrement.
Chiffrement TSL de bout en bout
Le chiffrement TLS de bout en bout (E2E) garantit que la communication front-end-à-worker dans App Service est chiffrée via TLS. Sans cette fonctionnalité, bien que les requêtes HTTPS entrantes soient chiffrées vers le serveur frontal, le trafic entre les serveurs frontaux et les workers exécutant les charges de travail d’application voyage non chiffrés à l’intérieur de l’infrastructure Azure.
E2E TLS permet de garantir un cryptage complet du trafic entre :
- Clients et serveurs frontaux App Service.
- Les serveurs frontaux App Service et les processus de travail hébergeant l’application.
Cette fonctionnalité est disponible sur :
- Plans App Service Premium (recommandés pour les nouveaux déploiements).
- Plans App Service Standard hérités (déploiements existants).
Important
Les plans Premium sont recommandés pour les nouveaux déploiements qui nécessitent un cryptage E2E et d'autres fonctionnalités de sécurité avancées.
Activer le chiffrement TLS de bout en bout
Vous pouvez activer le cryptage TLS E2E via :
- Paramètres du portail Azure.
- Commandes Azure CLI.
- Modèles ARM pour l’automatisation.
Après avoir activé le chiffrement TLS E2E, toutes les communications intra-cluster pour votre application web sont chiffrées via TLS, ce qui garantit la protection des données de bout en bout.
Certificats TLS/SSL sur App Service
Pour traiter le trafic HTTPS, App Service nécessite un certificat TLS/SSL lié à votre domaine personnalisé. App Service offre plusieurs options de certificat, allant des certificats gratuits entièrement gérés aux certificats gérés par le client.
Types de certificats
Certificats managés App Service (gratuit)
- Fourni sans frais.
- Entièrement géré par App Service, y compris le renouvellement automatique.
- Vous ne pouvez pas accéder, exporter ou utiliser ces certificats en dehors d’App Service.
- Aucune prise en charge des autorités de certification racines génériques ou personnalisées.
Certificats de service d'application (ASC)
- Certificats payants émis par GoDaddy.
- Vous possédez et gérez le certificat.
- Stocké dans votre coffre de clés. Peut être exporté et utilisé en dehors d’App Service.
Apportez votre propre certificat (BYOC)
- Chargez et gérez vos propres certificats TLS/SSL (format PFX).
- Entièrement géré par le client.
Chacune de ces options offre une flexibilité pour répondre à vos besoins en matière de sécurité et de gestion.
Lier des certificats à des domaines personnalisés
Après avoir téléchargé ou créé un certificat, vous le liez à un domaine personnalisé sur votre application Web en utilisant :
- Liaisons SSL SNI (Indication du nom du serveur) pour l’hébergement multilocataire.
- Liaisons SSL IP pour les adresses IP dédiées.
Remarque
Les domaines gérés par Azure (tels que *.azurewebsites.net) sont automatiquement sécurisés avec des certificats par défaut, aucune configuration supplémentaire n’est donc requise.
Authentification TLS mutuelle (mTLS)
App Service prend en charge le protocole TLS mutuel (mTLS) sur les plans Linux et Windows App Service, afin que les applications puissent exiger des certificats clients pour renforcer la sécurité.
Comment fonctionne mTLS
- Les clients présentent des certificats validés par rapport à une chaîne d’autorités de certification approuvées que vous configurez.
- Seuls les clients disposant de certificats valides peuvent se connecter.
- Il est couramment utilisé pour sécuriser les API et les applications internes.
Options de configuration
- Activez mTLS à l’aide du Portail Microsoft Azure, de l’interface de ligne de commande Azure ou des modèles ARM.
- Téléchargez des certificats d’autorité de certification de confiance pour la validation du client.
- Accédez aux informations du certificat client dans le code de l'application via les en-têtes de requête.
Gestion automatique des certificats
App Service fournit des fonctionnalités intégrées pour la gestion automatique des certificats :
Certificats gérés par App Service (gratuits). Émis et renouvelé automatiquement pour les domaines personnalisés. Ces certificats sont limités à la validation de domaine de base et ne prennent pas en charge les certificats génériques ou exportables.
Certificats App Service (payants). Certificats entièrement gérés qui prennent en charge des scénarios avancés, y compris les domaines génériques et les certificats exportables. Ces certificats sont stockés et gérés dans Azure Key Vault.
App Service facilite la sécurisation de vos applications web à l’aide de TLS et SSL. Avec la prise en charge des versions TLS modernes, des options de certificat flexibles et des fonctionnalités avancées telles que TLS mutuel, App Service vous aide à protéger les données en transit et à répondre aux exigences de conformité.