2025 年 8 月 31 日より、Azure Application Gateway は TLS (トランスポート層セキュリティ) バージョン 1.0 および 1.1 をサポートしなくなります。 この変更は、セキュリティを強化するために、これらの TLS バージョンの Azure 全体の提供終了 に合わせて調整されます。 Application Gateway リソースの所有者である場合は、これらの以前のバージョンを使用している可能性があるフロントエンド クライアントとバックエンド サーバーの両方の TLS 接続を確認する必要があります。
フロントエンド TLS 接続
TLS バージョン 1.0 と 1.1 の廃止により、カスタム TLS ポリシーから以前の定義済み TLS ポリシーと特定の暗号スイートが削除されます。 ゲートウェイの構成によっては、一般的な TLS ポリシー と リスナー固有の TLS ポリシーの両方のポリシー関連付けを確認する必要があります。
一般的な TLS ポリシー - ポータルビュー ポータル
リスナー固有の TLS ポリシー - ポータルビューポータル
V2 SKU の定義済みポリシー
TLS v1.0 と 1.1 をサポートする定義済みのポリシー 20150501と20170401は廃止され、2025 年 8 月以降は Application Gateway リソースに関連付けなくなります。 推奨される TLS ポリシーのいずれか (20220101 または 20220101S) に移行することをお勧めします。 または、特定の暗号スイートが必要な場合は、20170401S ポリシーを使用できます。
V2 SKU のカスタム ポリシー
Azure Application Gateway V2 SKU には、Custom と CustomV2 の 2 種類のカスタム ポリシーが用意されています。 これらの TLS バージョンの廃止は、"カスタム" ポリシーにのみ影響します。 新しい "CustomV2" ポリシーには、TLS v1.3 と v1.2 も付属しています。 2025 年 8 月以降、以前のカスタム ポリシーでは TLS v1.2 のみがサポートされ、次の暗号スイートはサポートされません。
| サポートされていない暗号スイート |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
V1 SKU の定義済みポリシー
V1 SKU では、TLS バージョン 1.0 および 1.1 の古いポリシーが廃止された後にのみ、20170401S ポリシーがサポートされます。 新しい20220101または 20220101S ポリシーは、間もなくto-be廃止された V1 SKU では使用できなくなります。
V1 SKU のカスタム ポリシー
Application Gateway V1 SKU では、以前の "カスタム" ポリシーのみがサポートされます。 2025 年 8 月以降、この古いカスタム ポリシーでは TLS v1.2 のみがサポートされ、次の暗号スイートはサポートされません。
| サポートされていない暗号スイート |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
バックエンド TLS 接続
TLS ポリシーの選択ではバックエンド TLS 接続を制御できないため、バックエンド接続の TLS バージョン用に Application Gateway で何も構成する必要はありません。 退職後は、
- V2 SKU の場合:バックエンド サーバーへの接続は常に優先 TLS v1.3 で、TLS v1.2 までの最小値が使用されます
- V1 SKU の場合: バックエンド サーバーへの接続は常に TLS v1.2 になります
バックエンド プール内のサーバーが、これらの更新されたプロトコル バージョンと互換性があることを確認する必要があります。 この互換性により、これらのバックエンド サーバーとの TLS/HTTPS 接続を確立するときの中断を回避できます。
識別方法
Metrics
Application Gateway リソースに接続するクライアントが TLS 1.0 または 1.1 を使用しているかどうかを確認するには、Application Gateway によって提供される Client TLS protocol メトリックを使用します。 詳細については、 メトリックのドキュメントを参照してください。 ポータルから表示するには、次の手順に従います。
- Azure portal で Application Gateway リソースに移動します。
- 左側のメニュー ウィンドウで、[監視] セクションの [メトリック] ブレードを開きます。
- ドロップダウンから
Client TLS protocolメトリックを選択します。 - 詳細なプロトコル バージョン情報を表示するには、[分割の適用] を選択し、[TLS プロトコル] を選択します。
Logs
Application Gateway Access ログを確認して、この情報をログ形式で表示することもできます。
Note
V1 SKU のメトリックとログには、クライアントの TLS プロトコル情報は含まれません。
エラー情報
TLS バージョン 1.0 および 1.1 のサポートが廃止されると、クライアントで curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failureなどのエラーが発生する可能性があります。 使用しているブラウザーによっては、TLS ハンドシェイクの失敗を示すさまざまなメッセージが表示される場合があります。
よく寄せられる質問
既定の TLS ポリシーにはどのような意味がありますか?
Application Gateway の既定の TLS ポリシーは、サポートされている TLS バージョンと暗号スイートのパッケージ セットです。 これにより、お客様は TLS バージョンや暗号スイートを追加で構成することなく、HTTPS または TLS リスナーとバックエンド設定を構成するだけで、セキュリティで保護されたトラフィックの使用を開始できます。 Application Gateway は、定義済みポリシーのいずれかを既定値として使用します。
レガシ TLS バージョン 1.0 および 1.1 の廃止後、既定の TLS ポリシーはどのような影響を受けますか?
2025 年 9 月まで、V2 SKU は、リソースのデプロイ時に指定された API バージョンに基づいて 2 つの既定の TLS ポリシーを利用します。 API バージョン 2023-02-01 以降を使用したデプロイでは、既定で AppGwSslPolicy20220101 が適用されますが、それより前の API バージョンでは AppGwSslPolicy20150501 が使用されます。
TLS 1.0 および 1.1 の非推奨化に伴い、以前の AppGwSslPolicy20150501 ポリシーは廃止されます。 そのため、AppGwSslPolicy20220101 がすべての V2 ゲートウェイの既定のポリシーになります。 この既定のポリシーの変更が実装されると、以降の PUT 操作によって構成の更新が完了します。
この廃止される SKU には AppGwSslPolicy20220101 が導入されないため、V1 SKU の既定のポリシーは変更されません。
Note
既定の TLS ポリシーは、ポータルで [既定値] オプションが選択されている場合、または REST、PowerShell、AzCLI などを使用してリソース構成内で TLS ポリシーを指定していない場合にのみ適用されます。 そのため、構成で既定のポリシーを使用することは、
AppGwSslPolicy20150501が API バージョンの既定のポリシーであっても、AppGwSslPolicy20150501ポリシーを明示的に選択することと同じではありません。変更はすべての Azure リージョンに段階的に適用されます。
Application Gateway のどの TLS ポリシーが非推奨になりますか?
TLS バージョン 1.0 および 1.1 をサポートする定義済みポリシー AppGwSslPolicy20150501 および AppGwSslPolicy20170401 は、Azure Resource Manager の構成から削除されます。 同様に、カスタム ポリシーでは、TLS バージョン 1.0 および 1.1 と、それらに関連付けられた暗号スイートのサポートが停止されます。 これは V1 SKU と V2 SKU の両方に適用されます。
Application Gateway 製品チームが、構成をサポートされる TLS ポリシーへと自動的に更新しますか?
お客様が定義した TLS 構成があるリソースは、Application Gateway によって変更されません。 TLS ポリシーが明示的に設定されていない、または TLS 関連の設定 (HTTPS や TLS リスナーなど) がないゲートウェイの既定の TLS ポリシーのみが、AppGwSslPolicy20220101 を使用するように自動的に更新されます。
ゲートウェイは失敗状態になりますか?
ゲートウェイの構成で非推奨の TLS ポリシーを選択し、2025 年 8 月までにサポートされているポリシーに更新しない場合、構成の更新を実行するときにゲートウェイは失敗状態になります。
どのリスナーにもリンクされていない SSLProfile など、機能しない TLS 構成は、ゲートウェイのコントロール プレーンに影響を与えません。
この変更のリリースはどのように計画されていますか?
当社のフリートの規模を考慮し、2025 年 8 月 30 日以降、TLS バージョンの非推奨化はコントロール プレーンとデータ プレーンに対して個別に実施されます。 リージョン固有の詳細情報は提供されません。そのため、必要な措置をできるだけ早く講じることを強くお勧めします。
TLS ポリシーを選択しておらず、ゲートウェイで HTTP/TCP 構成のみを使用している場合、何か影響を受ける可能性はありますか?
ゲートウェイが SSLPolicy、SSLProfile、HTTPS、または TLS リスナーを介して TLS 構成を使用していない場合、2025 年 8 月以降も影響はありません。
次のステップ
TLS ポリシーの種類と構成について学びます。廃止通知については、Azure の更新プログラムにアクセスしてください。