Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Em 31 de agosto de 2025, o Gateway de aplicativo do Azure deixará de dar suporte às versões 1.0 e 1.1 do protocolo TLS (TSL). Essa alteração está alinhada com a desativação em todo o Azure dessas versões do TLS para aprimorar a segurança. Como proprietário de um recurso do Gateway de aplicativo, é importante revisar as conexões TLS dos clientes de front-end e dos servidores de back-end que possam estar usando essas versões antigas.
Conexões TLS de front-end
Com a substituição das versões 1.0 e 1.1 do TLS, as políticas TLS predefinidas mais antigas e determinados pacotes de criptografia da política TLS Personalizada serão removidas. Dependendo da configuração do gateway, é necessário examinar a associação de política para a política geral do TLS e a política TLS específica do ouvinte.
Política geral do TLS – Exibição do portal
Política TLS específica do ouvinte – Exibição do portal
Políticas predefinidas para SKUs V2
As políticas predefinidas 20150501 e 20170401 que dão suporte ao TLS v1.0 e 1.1 serão descontinuadas e não poderão mais ser associadas a um recurso do Gateway de Aplicativo após agosto de 2025. Recomenda-se fazer a transição para uma das políticas TLS sugeridas, 20220101 ou 20220101S. Como alternativa, a política 20170401S pode ser usada se conjuntos de criptografia específicos forem necessários.
Políticas personalizadas para SKUs V2
O SKU V2 do Gateway de Aplicativo do Azure oferece dois tipos de políticas personalizadas: Custom e CustomV2. A desativação dessas versões do TLS afeta apenas a política "Personalizada". A política "CustomV2" mais recente vem com TLS v1.3 e também v1.2. Além de agosto de 2025, a política personalizada mais antiga dará suporte apenas ao TLS v1.2 e os seguintes conjuntos de criptografia não terão suporte.
| Conjuntos de criptografia sem suporte |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Políticas predefinidas para SKUs V1
O SKU V1 só dará suporte à política 20170401S depois que as políticas mais antigas com as versões TLS 1.0 e 1.1 forem descontinuadas. As políticas de 20220101 ou 20220101S mais recentes não estarão disponíveis para o SKU V1 que será desativado em breve.
Políticas personalizadas para SKUs V1
O SKU do Gateway de Aplicativo V1 dá suporte apenas à política "Personalizada" mais antiga. Além de agosto de 2025, essa política personalizada mais antiga dará suporte apenas ao TLS v1.2 e os seguintes conjuntos de criptografia não terão suporte.
| Conjuntos de criptografia sem suporte |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Conexões TLS de back-end
Você não precisa configurar nada no Gateway de aplicativo para a versão TLS da conexão de back-end, pois a seleção da política TLS não controla as conexões TLS de back-end. Após a aposentadoria.
- Para SKUs V2: as conexões com servidores de back-end sempre serão feitas com TLS v1.3 preferencial e, no mínimo, TLS v1.2.
- Para SKUs V1: as conexões com servidores internos sempre serão feitas com TLS v1.2
Você deve garantir que os servidores nos pools de back-end sejam compatíveis com essas versões de protocolo atualizadas. Essa compatibilidade evita interrupções ao estabelecer uma conexão TLS/HTTPS com esses servidores de back-end.
Métodos de identificação
Metrics
Para determinar se os clientes que se conectam ao recurso do Gateway de Aplicativo estão utilizando o TLS 1.0 ou 1.1, use a Client TLS protocol métrica fornecida pelo Gateway de Aplicativo. Para obter mais informações, consulte a documentação de métricas. Você pode visualizá-lo através do Portal seguindo estas etapas.
- Vá para o recurso gateway de aplicativo no portal do Azure.
- No painel de menu à esquerda, abra o painel "Métricas" na seção Monitoramento.
- Selecione a métrica como
Client TLS protocolna lista suspensa. - Para exibir informações de versão do protocolo granular, selecione "Aplicar divisão" e escolha "Protocolo TLS".
Logs
Você também pode verificar os Logs de Acesso do Gateway de Aplicativo para exibir essas informações no formato de log.
Note
As métricas e os logs dos SKUs V1 não fornecem informações sobre o protocolo TLS do cliente.
Informações de erro
Depois que o suporte para as versões 1.0 e 1.1 do TLS for descontinuado, os clientes poderão encontrar erros como curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. Dependendo do navegador que está sendo usado, várias mensagens que indicam falhas de handshake do TLS podem ser exibidas.
Perguntas frequentes
O que significa uma política TLS padrão?
Uma política TLS padrão para o Gateway de aplicativo é um conjunto predefinido de versões TLS e conjuntos de criptografia com suporte. Isso permite que os clientes comecem a usar tráfego protegido configurando apenas ouvintes HTTPS ou TLS e definições de back-end, sem precisar de configuração extra para versão TLS ou criptografias. O Gateway de aplicativo usa uma de suas políticas predefinidas como padrão.
Como as políticas TLS padrão serão afetadas após a desativação das versões herdadas 1.0 e 1.1 do TLS?
Até setembro de 2025, os SKUs V2 usam duas políticas TLS padrão com base na versão da API especificada durante a implantação do recurso. Implantações que usam a versão da API 2023-02-01 ou posterior aplicam AppGwSslPolicy20220101 por padrão, enquanto versões anteriores da API usam AppGwSslPolicy20150501.
Com a substituição das versões 1.0 e 1.1 do TLS, a política AppGwSslPolicy20150501 mais antiga será descontinuada. Assim, AppGwSslPolicy20220101 se tornará a política padrão para todos os gateways V2. Quando essa alteração na política padrão for implementada, uma operação PUT subsequente concluirá a atualização da configuração.
A política padrão para o SKU V1 permanecerá inalterada, pois AppGwSslPolicy20220101 não será introduzida para essa SKU em desativação.
Note
Uma política TLS padrão é aplicada apenas quando a opção "Padrão" é selecionada no Portal ou quando nenhuma política TLS é especificada na configuração do recurso por meios como REST, PowerShell ou AzCLI. Portanto, usar uma política padrão na configuração não é o mesmo que selecionar explicitamente a política
AppGwSslPolicy20150501, mesmo queAppGwSslPolicy20150501seja a política padrão para sua versão de API.As alterações serão aplicadas gradualmente em todas as regiões do Azure.
Quais políticas TLS no Gateway de aplicativo estão sendo preteridas?
As políticas predefinidas AppGwSslPolicy20150501 e AppGwSslPolicy20170401, que dão suporte às versões 1.0 e 1.1 do TLS, serão removidas da configuração do Azure Resource Manager. Da mesma forma, a política personalizada deixará de ter suporte às versões 1.0 e 1.1 do TLS, junto com seus conjuntos de criptografia associados. Isso se aplica tanto às SKUs V1 quanto às V2.
A equipe do produto Gateway de aplicativo atualizará automaticamente a configuração para uma política de TLS com suporte?
O Gateway de aplicativo não modificará nenhum recurso que tenha configurações de TLS definidas pelo cliente. Somente a política de TLS padrão dos gateways que não definiram explicitamente uma política de TLS ou que não têm configurações relacionadas a TLS (como HTTPS ou ouvintes de TLS) será atualizada automaticamente para usar AppGwSslPolicy20220101.
Meu gateway entrará em estado de falha?
Se você tiver escolhido alguma política de TLS em substituição na configuração do seu gateway e não a atualizar para uma política com suporte até agosto de 2025, o gateway entrará em estado de falha ao executar uma atualização de configuração.
Uma configuração de TLS não funcional, como um SSLProfile não vinculado a nenhum ouvinte, não terá impacto no painel de controle do gateway.
Como está planejada a liberação dessa alteração?
Dada a escala da nossa frota, após 30 de agosto de 2025, a substituição das versões do TLS será implementada separadamente para os painéis de Controle e de Dados. Não haverá detalhes específicos por região; portanto, recomendamos fortemente que você tome todas as ações necessárias o quanto antes.
Há algum impacto potencial se eu não tiver selecionado nenhuma política de TLS e meu gateway usar apenas configurações HTTP/TCP?
Se o seu gateway não usar nenhuma configuração de TLS — seja por meio de SSLPolicy, SSLProfile, HTTPS ou ouvintes de TLS —, não haverá impacto após agosto de 2025.
Próximas etapas
Saiba mais sobre os tipos de política e as configurações do TLS visite as Atualizações do Azure para aviso de desativação