Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
A partir de 28 de julho de 2025, as alterações nos Certificados Gerenciados do Serviço de Aplicativo (ASMC) afetarão a forma como os certificados são emitidos e renovados em determinados cenários. Embora a maioria dos clientes não precise tomar medidas, recomendamos que leia nossa postagem detalhada no blog ASMC para obter mais informações.
Transport Layer Security (TLS) é um protocolo de segurança amplamente adotado projetado para proteger conexões e comunicações entre servidores e clientes. No Serviço de Aplicativo do Azure, você pode usar certificados TLS e SSL (Secure Sockets Layer) para ajudar a proteger solicitações de entrada em seus aplicativos Web.
O Serviço de Aplicativo oferece suporte a TLS para ajudar a garantir:
- Encriptação de dados em trânsito.
- Autenticação de aplicações Web através de certificados fidedignos.
- Prevenção de adulteração de dados durante a transmissão.
Gorjeta
Também pode fazer estas perguntas ao Azure Copilot :
- Quais versões do TLS são suportadas no Serviço de Aplicativo?
- Quais são os benefícios de usar o TLS 1.3 em vez de versões anteriores?
- Como posso alterar a ordem do conjunto de cifras para o meu Ambiente de Serviço de Aplicação?
No cabeçalho da página no portal do Azure, selecione Copilot.
Suporte à versão TLS
O Serviço de Aplicativo oferece suporte às seguintes versões de TLS para solicitações de entrada para seu aplicativo Web:
- TLS 1.3. A versão mais recente e segura, agora totalmente suportada.
- TLS 1.2. A versão mínima padrão do TLS para novos aplicativos Web.
- TLS 1.1 e TLS 1.0. Versões suportadas para compatibilidade com versões anteriores, mas não recomendadas.
Você pode configurar a versão mínima do TLS para solicitações de entrada para seu aplicativo Web e seu site do Gerenciador de Controle do Código-Fonte (SCM). Por padrão, o mínimo é definido como TLS 1.2.
O Azure Policy pode ajudá-lo a auditar seus recursos e a versão mínima do TLS. Vá para Aplicações de Serviço devem usar a definição de política da versão mais recente do TLS e altere os valores para a versão mínima do TLS que pretende que as suas aplicações web utilizem. Para obter informações sobre definições de política relacionadas para outros recursos do Serviço de Aplicativo, consulte Lista de definições de política internas - Política do Azure para Serviço de Aplicativo.
TLS 1,3
O TLS 1.3 é totalmente suportado no Serviço de Aplicativo e introduz várias melhorias em relação ao TLS 1.2:
- Segurança reforçada, com conjuntos de cifras simplificados e sigilo a longo prazo.
- Apertos de mão mais rápidos para reduzir a latência.
- Mensagens de handshake encriptadas para maior privacidade.
Para exigir o TLS 1.3 para todas as solicitações de entrada, defina Versão Mínima de TLS de Entrada como TLS 1.3 no portal do Azure, na CLI do Azure ou no modelo do Azure Resource Manager (modelo ARM).
O TLS 1.3 suporta os seguintes pacotes de codificação, que são fixos e não podem ser personalizados:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Esses pacotes fornecem criptografia forte e são usados automaticamente quando o TLS 1.3 é negociado.
TLS 1,2
TLS 1.2 é a versão padrão do TLS para o Serviço de Aplicativo. Ele fornece criptografia forte e ampla compatibilidade e atende aos padrões de conformidade, como o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). Por padrão, novos aplicativos Web e pontos de extremidade SCM usam TLS 1.2, a menos que você os altere.
O Serviço de Aplicativo usa um conjunto seguro de pacotes de codificação TLS 1.2 para ajudar a garantir conexões criptografadas e proteger contra vulnerabilidades conhecidas. Embora você possa habilitar o TLS 1.1 e o TLS 1.0 para compatibilidade com versões anteriores, recomendamos que você use o TLS 1.2 ou posterior.
TLS 1.1 e TLS 1.0
TLS 1.1 e TLS 1.0 são protocolos herdados e não são mais considerados seguros. Essas versões são suportadas no Serviço de Aplicativo apenas para compatibilidade com versões anteriores e devem ser evitadas quando possível. A versão mínima padrão do TLS para novos aplicativos é TLS 1.2 e recomendamos que você migre aplicativos que usam TLS 1.1 ou TLS 1.0.
Importante
As solicitações de entrada para aplicativos Web e as solicitações de entrada para o Azure são tratadas de forma diferente. O Serviço de Aplicativo continua a oferecer suporte a TLS 1.1 e TLS 1.0 para solicitações de entrada para aplicativos Web.
Para solicitações de entrada feitas diretamente no plano de controle do Azure, por exemplo, por meio do Azure Resource Manager ou chamadas de API, não recomendamos que você use TLS 1.1 ou TLS 1.0.
Conjunto de codificação TLS mínimo
Nota
A configuração Minimum TLS Cipher Suite é suportada nas SKUs básicas ou superiores no Serviço de Aplicações multicliente.
O pacote de codificação TLS mínimo inclui uma lista fixa de pacotes de codificação que têm uma ordem de prioridade ideal que você não pode alterar. Não recomendamos reordenar ou repriorizar os pacotes de codificação porque isso pode permitir uma criptografia mais fraca em seus aplicativos Web. Também não é possível adicionar pacotes de codificação novos ou diferentes a esta lista. Quando você seleciona um pacote de codificação mínimo, o sistema bloqueia automaticamente todos os pacotes de codificação menos seguros para seu aplicativo Web. Você não pode bloquear seletivamente apenas alguns pacotes de codificação mais fracos.
O que são pacotes de codificação e como eles funcionam no Serviço de Aplicativo?
Um conjunto de codificação é um conjunto de instruções que contém algoritmos e protocolos para ajudar a proteger as conexões de rede entre clientes e servidores. Por padrão, o sistema operacional front-end escolhe o conjunto de cifras mais seguro que tanto o Serviço de Aplicativo quanto o cliente suportam. No entanto, se o cliente suportar apenas pacotes de codificação fracos, o sistema operacional front-end escolhe um pacote de codificação fraco. Se sua organização restringir os pacotes de codificação permitidos, você poderá atualizar a propriedade mínima do pacote de codificação TLS do seu aplicativo Web para garantir que os pacotes de codificação fracos sejam bloqueados para seu aplicativo Web.
Ambiente do App Service com configuração de cluster FrontEndSSLCipherSuiteOrder
Para Ambientes do Serviço de Aplicativo que têm a configuração de FrontEndSSLCipherSuiteOrder cluster definida, atualize suas configurações para incluir os dois pacotes de codificação TLS 1.3:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Depois de atualizar a configuração do cluster, reinicie o front-end para que as alterações entrem em vigor. Além disso, você ainda deve incluir os dois pacotes de codificação necessários descritos anteriormente, mesmo quando atualizar suas configurações para oferecer suporte ao TLS 1.3. Se você já usa FrontEndSSLCipherSuiteOrdero , não recomendamos que você também habilite o Minimum TLS Cipher Suite para seu aplicativo Web. O resultado pode ser configurações conflitantes. Configure apenas uma destas opções para gerir as preferências da suíte de cifras.
Encriptação TLS ponto a ponto
A criptografia TLS de ponta a ponta (E2E) garante que a comunicação front-end-to-worker dentro do Serviço de Aplicativo seja criptografada via TLS. Sem esse recurso, embora as solicitações HTTPS de entrada sejam criptografadas para os front-ends, o tráfego dos front-ends para os trabalhadores que executam as cargas de trabalho do aplicativo viaja sem criptografia dentro da infraestrutura do Azure.
O E2E TLS ajuda a garantir a criptografia total do tráfego entre:
- Clientes e front-ends do Serviço de Aplicativo.
- Front-ends do Serviço de Aplicativo e processos de trabalho que hospedam o aplicativo.
Esta funcionalidade está disponível em:
- Planos Premium do Serviço de Aplicativo (recomendados para novas implantações).
- Planos do Serviço de Aplicativo Padrão herdado (implantações existentes).
Importante
Os planos Premium são recomendados para novas implantações que exigem criptografia E2E e outros recursos avançados de segurança.
Habilite a criptografia TLS de ponta a ponta
Pode ativar a encriptação E2E TLS através de:
- Configurações do portal do Azure.
- Comandos da CLI do Azure.
- Modelos ARM para automação.
Depois de habilitar a criptografia E2E TLS, todas as comunicações intra-cluster para seu aplicativo Web são criptografadas via TLS, o que garante proteção de dados de ponta a ponta.
Certificados TLS/SSL no Serviço de Aplicativo
Para atender ao tráfego HTTPS, o Serviço de Aplicativo requer um certificado TLS/SSL vinculado ao seu domínio personalizado. O Serviço de Aplicativo oferece várias opções de certificado, desde certificados gratuitos totalmente gerenciados até certificados gerenciados pelo cliente.
Tipos de certificado
Certificados gerenciados pelo Serviço de Aplicativo (Gratuito)
- Fornecido sem nenhum custo.
- Totalmente gerenciado pelo Serviço de Aplicativo, incluindo renovação automática.
- Você não pode acessar, exportar ou usar esses certificados fora do Serviço de Aplicativo.
- Não há suporte para CAs curinga ou raiz personalizada.
Certificados do Serviço de Aplicativo (ASC)
- Certificados pagos emitidos pela GoDaddy.
- Você possui e gerencia o certificado.
- Armazenado no cofre das chaves. Pode ser exportado e usado fora do Serviço de Aplicativo.
Traga o seu próprio certificado (BYOC)
- Carregue e gerencie seus próprios certificados TLS/SSL (formato PFX).
- Totalmente gerenciado pelo cliente.
Cada uma dessas opções oferece flexibilidade para atender às suas necessidades de segurança e gerenciamento.
Vincular certificados a domínios personalizados
Depois de carregar ou criar um certificado, vincule-o a um domínio personalizado em seu aplicativo Web usando:
- SNI (Server Name Indication) Ligações SSL para hospedagem multilocatário.
- Ligações IP SSL para endereços IP dedicados.
Nota
Os domínios gerenciados pelo Azure (como *.azurewebsites.net) são automaticamente protegidos com certificados padrão, portanto, nenhuma configuração extra é necessária.
Autenticação TLS mútua (mTLS)
O Serviço de Aplicativo oferece suporte a TLS mútuo (mTLS) nos planos Linux e Windows App Service, portanto, os aplicativos podem exigir certificados de cliente para maior segurança.
Como funciona o mTLS
- Os clientes apresentam certificados que são validados em relação a uma cadeia de CA confiável que você configura.
- Somente clientes que possuem certificados válidos podem se conectar.
- É comumente usado para proteger APIs e aplicativos internos.
Opções de configuração
- Habilite o mTLS usando o portal do Azure, a CLI do Azure ou modelos ARM.
- Carregue certificados de CA confiáveis para validação de cliente.
- Acesse as informações do certificado do cliente no código do aplicativo por meio de cabeçalhos de solicitação.
Gestão automática de certificados
O Serviço de Aplicativo fornece recursos internos para gerenciar certificados automaticamente:
Certificados gerenciados pelo Serviço de Aplicativo (gratuito). Emitido e renovado automaticamente para domínios personalizados. Esses certificados são limitados à validação básica de domínio e não suportam certificados curinga ou exportáveis.
Certificados do Serviço de Aplicativo (pagos). Certificados totalmente gerenciados que suportam cenários avançados, incluindo domínios curinga e certificados exportáveis. Esses certificados são armazenados e gerenciados no Cofre da Chave do Azure.
O Serviço de Aplicativo facilita a proteção de seus aplicativos Web usando TLS e SSL. Com suporte para versões modernas de TLS, opções de certificado flexíveis e recursos avançados, como TLS mútuo, o Serviço de Aplicativo ajuda você a proteger os dados em trânsito e atender aos requisitos de conformidade.