Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A partir de 28 de julho de 2025, as alterações nos Certificados Gerenciados do Serviço de Aplicativo (ASMC) afetarão a forma como os certificados são emitidos e renovados em determinados cenários. Embora a maioria dos clientes não precise tomar medidas, recomendamos revisar nossa postagem detalhada no blog do ASMC para obter mais informações.
O Protocolo TLS (TLS) é amplamente adotado. Ele foi criado para tornar seguras as conexões e as comunicações entre servidores e clientes. No Serviço de Aplicativo do Azure, você pode usar certificados TLS e SSL para ajudar a proteger solicitações de entrada em seus aplicativos Web.
O Serviço de Aplicativo dá suporte ao TLS para ajudar a garantir:
- Criptografia de dados em trânsito.
- Autenticação de aplicativos Web por meio de certificados confiáveis.
- Prevenção de adulteração de dados durante a transmissão.
Dica
Você também pode fazer estas perguntas ao Azure Copilot :
- Quais versões do TLS têm suporte no Serviço de Aplicativo?
- Quais são os benefícios de usar o TLS 1.3, em vez de versões anteriores?
- Como posso alterar a ordem do conjunto de criptografias para meu Ambiente de Serviço de Aplicativo?
No cabeçalho da página no portal do Azure, selecione Copilot.
Suporte à versão do TLS
O Serviço de Aplicativo dá suporte às seguintes versões do TLS para solicitações de entrada para seu aplicativo Web:
- TLS 1.3. A versão mais recente e mais segura agora tem suporte total.
- TLS 1.2. A versão mínima padrão do TLS para novos aplicativos Web.
- TLS 1.1 e TLS 1.0. Versões com suporte para compatibilidade com versões anteriores, mas não recomendadas.
Você pode configurar a versão mínima do TLS para solicitações de entrada para seu aplicativo Web e seu site do SCM (Gerenciador de Código-Fonte). Por padrão, a versão mínima é definida como TLS 1.2.
O Azure Policy pode ajudá-lo a auditar seus recursos e a versão mínima do TLS. Acesse Aplicativos do Serviço de Aplicativo devem usar a definição de política de versão mais recente do TLS e alterar os valores para a versão mínima do TLS que seus aplicativos Web devem usar. Para obter informações sobre definições de política relacionadas para outros recursos do Serviço de Aplicativo, consulte Lista de definições de política internas – Azure Policy para Serviço de Aplicativo.
TLS 1.3
O TLS 1.3 tem suporte total no Serviço de Aplicativo e apresenta várias melhorias em relação ao TLS 1.2:
- Segurança mais forte, com conjuntos de criptografias simplificados e sigilo de encaminhamento.
- Handshakes mais rápidos para latência reduzida.
- Mensagens de handshake criptografadas para maior privacidade.
Para exigir o TLS 1.3 para todas as solicitações de entrada, defina versão mínima do TLS de entrada como TLS 1.3 no portal do Azure, na CLI do Azure ou no modelo do ARM (Azure Resource Manager).
O TLS 1.3 dá suporte aos seguintes conjuntos de criptografias, que são fixos e não podem ser personalizados:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Esses pacotes fornecem criptografia forte e são usados automaticamente quando o TLS 1.3 é negociado.
TLS 1.2
O TLS 1.2 é a versão padrão do TLS para o Serviço de Aplicativo. Ele fornece criptografia forte e ampla compatibilidade e atende aos padrões de conformidade, como o PCI DSS (Payment Card Industry Data Security Standard). Por padrão, novos aplicativos Web e pontos de extremidade SCM usam o TLS 1.2, a menos que você os altere.
O Serviço de Aplicativo usa um conjunto seguro de conjuntos de criptografia TLS 1.2 para ajudar a garantir conexões criptografadas e proteger contra vulnerabilidades conhecidas. Embora você possa habilitar o TLS 1.1 e o TLS 1.0 para compatibilidade com versões anteriores, recomendamos que você use o TLS 1.2 ou posterior.
TLS 1.1 e TLS 1.0
TLS 1.1 e TLS 1.0 são protocolos herdados e não são mais considerados seguros. Essas versões têm suporte no Serviço de Aplicativo apenas para compatibilidade com versões anteriores e devem ser evitadas quando possível. A versão mínima padrão do TLS para novos aplicativos é TLS 1.2 e recomendamos que você migre aplicativos que usam TLS 1.1 ou TLS 1.0.
Importante
As solicitações de entrada para os aplicativos Web e as solicitações de entrada para o Azure são tratadas de maneira diferente. O Serviço de Aplicativo continua dando suporte ao TLS 1.1 e TLS 1.0 nas solicitações de entrada para os aplicativos Web.
Para solicitações de entrada feitas diretamente no plano de controle do Azure, por exemplo, por meio do Azure Resource Manager ou chamadas à API, não recomendamos que você use o TLS 1.1 ou o TLS 1.0.
Conjunto mínimo de criptografias TLS
Observação
A configuração do Conjunto mínimo de criptografias TLS tem suporte em SKUs básicas ou superiores no Serviço de Aplicativo multilocatário.
O pacote de criptografia TLS mínimo inclui uma lista fixa de conjuntos de criptografia que têm uma ordem de prioridade ideal que você não pode alterar. Não recomendamos reordenar ou redefinir a prioridade dos conjuntos de criptografia porque isso pode habilitar uma criptografia mais fraca em seus aplicativos Web. Você também não pode adicionar conjuntos de criptografias diferentes ou novos a essa lista. Quando você seleciona um pacote de criptografia mínimo, o sistema bloqueia automaticamente todos os pacotes de criptografia menos seguros para seu aplicativo Web. Você não pode bloquear seletivamente apenas alguns conjuntos de criptografias mais fracos.
O que são conjuntos de criptografias e como funcionam no Serviço de Aplicativo?
Um conjunto de criptografias é um conjunto de instruções que contém algoritmos e protocolos para ajudar a proteger conexões de rede entre clientes e servidores. Por padrão, o sistema operacional do front-end escolhe o conjunto de criptografias mais seguro compatível com o Serviço de Aplicativo e o cliente. No entanto, se o cliente oferecer suporte apenas a pacotes de criptografia fracos, o sistema operacional front-end escolherá um conjunto de criptografias fraco. Se sua organização restringir os conjuntos de criptografia permitidos, você poderá atualizar a propriedade mínima do pacote de criptografia TLS do aplicativo Web para garantir que os conjuntos de criptografia fracos sejam bloqueados para seu aplicativo Web.
Ambiente do Serviço de Aplicativo com configuração de cluster FrontEndSSLCipherSuiteOrder
Para Ambientes do Serviço de Aplicativo que têm a configuração de cluster FrontEndSSLCipherSuiteOrder definida, atualize suas configurações para incluir os dois conjuntos de criptografias TLS 1.3:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Depois de atualizar a configuração do cluster, você deve reiniciar o front-end para que as alterações entrem em vigor. Além disso, você ainda deve incluir os dois conjuntos de criptografia necessários descritos anteriormente, mesmo quando você atualiza as configurações para dar suporte ao TLS 1.3. Se você já usar FrontEndSSLCipherSuiteOrder, não recomendamos que você também habilite o Pacote De Criptografia TLS Mínimo para seu aplicativo Web. O resultado pode ser configurações conflitantes. Configure apenas uma dessas opções para gerenciar as preferências do conjunto de criptografias.
Criptografia TLS de ponta a ponta
A criptografia TLS de ponta a ponta (E2E) garante que a comunicação front-end-to-worker no Serviço de Aplicativo seja criptografada por meio do TLS. Sem esse recurso, embora as solicitações HTTPS de entrada sejam criptografadas para os front-ends, o tráfego de front-ends para os trabalhadores que executam as cargas de trabalho do aplicativo viaja sem criptografia dentro da infraestrutura do Azure.
O TLS de E2E ajuda a garantir a criptografia completa do tráfego entre:
- Front-ends de Clientes e Serviço de Aplicativo.
- Front-ends do Serviço de Aplicativo e processos de trabalho que hospedam o aplicativo.
Esse recurso está disponível em:
- Planos do Serviço de Aplicativo Premium (recomendados para novas implantações).
- Planos herdados do Serviço de Aplicativo Standard (implantações existentes).
Importante
Planos Premium são recomendados para novas implantações que exigem criptografia de E2E e outros recursos de segurança avançados.
Habilitar a criptografia TLS de ponta a ponta
Você pode habilitar a criptografia TLS de E2E por meio de:
- Configurações do portal do Azure.
- Comandos da CLI do Azure.
- Modelos do ARM para automação.
Depois de habilitar a criptografia TLS do E2E, todas as comunicações entre clusters para seu aplicativo Web são criptografadas por meio do TLS, o que garante a proteção de dados de ponta a ponta.
Certificados TLS/SSL no Serviço de Aplicativo
Para atender ao tráfego HTTPS, o Serviço de Aplicativo requer um certificado TLS/SSL associado ao seu domínio personalizado. O Serviço de Aplicativo oferece várias opções de certificado, desde certificados gratuitos totalmente gerenciados até certificados gerenciados pelo cliente.
Tipos de certificados
Certificados gerenciados do Serviço de Aplicativo (Gratuito)
- Fornecido sem custo.
- Totalmente gerenciado pelo Serviço de Aplicativo, incluindo a renovação automática.
- Você não pode acessar, exportar ou usar esses certificados fora do Serviço de Aplicativo.
- Não há suporte para caracteres curinga ou CAs raiz personalizadas.
Certificados do Serviço de Aplicativo (ASC)
- Certificados pagos emitidos pelo GoDaddy.
- Você possui e gerencia o certificado.
- Armazenado no cofre de chaves. Pode ser exportado e usado fora do Serviço de Aplicativo.
Traga seu próprio certificado (BYOC)
- Carregue e gerencie seus próprios certificados TLS/SSL (formato PFX).
- Totalmente gerenciado pelo cliente.
Cada uma dessas opções oferece flexibilidade para atender às suas necessidades de segurança e gerenciamento.
Associar certificados a domínios personalizados
Depois de carregar ou criar um certificado, você o associa a um domínio personalizado em seu aplicativo Web usando:
- Associações SSL SNI (Indicação de Nome de Servidor) para hospedagem multilocatário.
- Associações IP SSL para endereços IP dedicados.
Observação
Domínios gerenciados pelo Azure (como *.azurewebsites.net) são protegidos automaticamente com certificados padrão, portanto, nenhuma configuração adicional é necessária.
Autenticação TLS mútua (mTLS)
O Serviço de Aplicativo dá suporte ao TLS mútuo (mTLS) em planos do Windows App do Linux e do Windows, para que os aplicativos possam exigir certificados de cliente para maior segurança.
Como o mTLS funciona
- Os clientes apresentam certificados validados em uma cadeia de autoridade de certificação confiável que você configura.
- Apenas os clientes com certificados válidos podem se conectar.
- Normalmente, ele é usado para proteger APIs e aplicativos internos.
Opções de configuração
- Habilite o mTLS usando o portal do Azure, a CLI do Azure ou os modelos do ARM.
- Carregue certificados de AC confiáveis para validação do cliente.
- Acesse informações de certificado do cliente no código do aplicativo por meio de cabeçalhos de solicitação.
Gerenciamento automático de certificados
O Serviço de Aplicativo fornece recursos internos para gerenciar certificados automaticamente:
Certificados gerenciados do Serviço de Aplicativo (grátis). Emitido e renovado automaticamente para domínios personalizados. Esses certificados são limitados à validação básica de domínio e não dão suporte a certificados curinga ou exportáveis.
Certificados do Serviço de Aplicativo (pagos). Certificados totalmente gerenciados que dão suporte a cenários avançados, incluindo domínios curinga e certificados exportáveis. Esses certificados são armazenados e gerenciados no Azure Key Vault.
O Serviço de Aplicativo facilita a segurança de seus aplicativos Web usando TLS e SSL. Com suporte para versões modernas do TLS, opções de certificado flexíveis e recursos avançados, como TLS mútuo, o Serviço de Aplicativo ajuda você a proteger dados em trânsito e atender aos requisitos de conformidade.