Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Em 31 de agosto de 2025, o Gateway de Aplicativo do Azure não dará mais suporte às versões 1.0 e 1.1 do TLS (Transport Layer Security). Essa alteração está alinhada com a desativação em todo o Azure dessas versões do TLS para melhorar a segurança. Como proprietário de um recurso do Application Gateway, você deve examinar as conexões TLS de clientes Frontend e servidores Backend que podem estar usando essas versões mais antigas.
Conexões Frontend TLS
Com a substituição das versões 1.0 e 1.1 do TLS, as políticas de TLS predefinidas mais antigas e certos pacotes de codificação da política de TLS personalizada serão removidos. Dependendo da configuração do gateway, é necessário revisar a associação de política para a política geral de TLS e a política de TLS específica do Listener.
Política geral de TLS - Visualização do portal
Política TLS específica do ouvinte - Visualização do portal
Políticas predefinidas para SKUs V2
As políticas predefinidas 20150501 e 20170401 que suportam TLS v1.0 e 1.1 serão descontinuadas e não poderão mais ser associadas a um recurso do Application Gateway após agosto de 2025. Aconselha-se a transição para uma das políticas TLS recomendadas, 20220101 ou 20220101S. Como alternativa, a política 20170401S pode ser usada se pacotes de codificação específicos forem necessários.
Políticas personalizadas para SKUs V2
O SKU do Azure Application Gateway V2 oferece dois tipos de políticas personalizadas: Custom e CustomV2. A desativação dessas versões TLS afeta apenas a política "Personalizada". A política "CustomV2" mais recente vem com TLS v1.3 e também v1.2. Após agosto de 2025, a política personalizada mais antiga suportará apenas TLS v1.2 e os seguintes pacotes de codificação não serão suportados.
| Pacotes de codificação sem suporte |
|---|
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Políticas predefinidas para SKUs V1
O SKU V1 só suportará a política 20170401S depois que as políticas mais antigas com as versões 1.0 e 1.1 do TLS forem descontinuadas. As políticas mais recentes 20220101 ou 20220101S não estarão disponíveis para o SKU V1, que será retirado em breve.
Políticas personalizadas para SKUs V1
O SKU do Application Gateway V1 suporta apenas a política "Personalizada" mais antiga. Depois de agosto de 2025, esta política personalizada mais antiga suportará apenas TLS v1.2 e os seguintes pacotes de codificação não serão suportados.
| Pacotes de codificação sem suporte |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Conexões TLS de backend
Você não precisa configurar nada no seu Application Gateway para a versão TLS da conexão de back-end, pois a seleção da política TLS não tem controle sobre as conexões TLS de back-end. Após a reforma,
- Para SKUs V2: as conexões com servidores back-end serão sempre com TLS v1.3 preferencial e mínimo até TLS v1.2
- Para os SKUs V1: as ligações aos servidores de retaguarda serão sempre efetuadas com TLS v1.2.
Você deve garantir que seus servidores nos pools de back-end sejam compatíveis com essas versões de protocolo atualizadas. Essa compatibilidade evita interrupções ao estabelecer uma conexão TLS/HTTPS com esses servidores back-end.
Métodos de identificação
Metrics
Para determinar se os clientes que se conectam ao recurso do Application Gateway estão utilizando o TLS 1.0 ou 1.1, use a Client TLS protocol métrica fornecida pelo Application Gateway. Para obter mais informações, consulte a documentação de métricas. Pode visualizá-lo a partir do Portal seguindo estes passos.
- Vá para o recurso Gateway de Aplicações no portal do Azure.
- No painel de menu esquerdo, abra a folha "Métricas" na seção Monitoramento.
- Selecione métrica como
Client TLS protocolna lista suspensa. - Para visualizar as informações de versão do protocolo granular, selecione "Aplicar divisão" e escolha "Protocolo TLS".
Logs
Você também pode verificar os logs de Acesso ao Gateway de Aplicações para visualizar essas informações no formato de log.
Note
As métricas e logs para os SKUs V1 não fornecem informações do protocolo TLS do cliente.
Informações de erro
Quando o suporte para as versões 1.0 e 1.1 do TLS for descontinuado, os clientes poderão encontrar erros como curl: (35) error:0A000410:SSL routines::sslv3 alert handshake failure. Dependendo do navegador que está sendo usado, várias mensagens indicando falhas de handshake TLS podem ser exibidas.
Perguntas frequentes
O que significa uma política TLS padrão?
Uma política TLS padrão para o Application Gateway é um conjunto empacotado de versões TLS suportadas e pacotes de codificação. Isso permite que os clientes comecem a usar o tráfego seguro configurando apenas ouvintes HTTPS ou TLS e configurações de back-end, sem qualquer configuração extra para a versão ou cifras TLS. O Application Gateway usa uma de suas políticas predefinidas como padrão.
Como as políticas padrão do TLS serão afetadas após a desativação das versões 1.0 e 1.1 do TLS herdado?
Até setembro de 2025, as SKUs V2 utilizam duas políticas TLS padrão baseadas na versão da API especificada durante a implantação de recursos. As implantações que usam a versão da API 2023-02-01 ou posterior aplicam-seAppGwSslPolicy20220101 por padrão, enquanto as versões anteriores da API usam AppGwSslPolicy20150501o .
Com a descontinuação do TLS 1.0 e 1.1, a política mais antiga AppGwSslPolicy20150501 será descontinuada. Assim, AppGwSslPolicy20220101 se tornará a política padrão para todos os gateways V2. Depois que essa alteração na política padrão for implementada, uma operação PUT subsequente concluirá a atualização de configuração.
A política padrão para o SKU V1 permanecerá inalterada, uma vez que AppGwSslPolicy20220101 não será introduzida para este SKU desativado.
Note
Uma política TLS padrão é aplicada somente quando a opção "Padrão" é selecionada no Portal ou quando nenhuma política TLS é especificada na configuração de recursos por meios como REST, PowerShell ou AzCLI. Assim, usar uma política padrão na configuração não é o mesmo que selecionar
AppGwSslPolicy20150501explicitamente a política, mesmo queAppGwSslPolicy20150501seja a política padrão para sua versão da API.As alterações serão aplicadas gradualmente em todas as regiões do Azure.
Quais políticas TLS no Application Gateway estão sendo preteridas?
As políticas AppGwSslPolicy20150501 predefinidas e AppGwSslPolicy20170401 que dão suporte às versões 1.0 e 1.1 do TLS serão removidas da configuração do Azure Resource Manager. Da mesma forma, a política personalizada deixará de oferecer suporte às versões 1.0 e 1.1 do TLS, juntamente com seus pacotes de codificação associados. Isso se aplica às SKUs V1 e V2.
A equipe de produto do Application Gateway atualizará automaticamente a configuração para uma política TLS suportada?
O Application Gateway não modificará nenhum recurso com configurações TLS definidas pelo cliente. Somente a política TLS padrão para gateways que não definiram explicitamente uma política TLS ou não possuem configurações relacionadas a TLS (como ouvintes HTTPS ou TLS) será atualizada automaticamente para uso AppGwSslPolicy20220101.
Meu gateway entrará em um estado de falha?
Se você tiver escolhido qualquer política TLS preterida na configuração do gateway e não atualizá-la para uma política suportada até agosto de 2025, o gateway entrará no estado Falha ao executar uma atualização de configuração.
Uma configuração TLS não funcional, como um SSLProfile não vinculado a nenhum ouvinte, não terá nenhum impacto no plano de controle do gateway.
Como está planeada a libertação desta alteração?
Dada a escala da nossa frota, após 30 de agosto de 2025, a descontinuação das versões TLS será implementada separadamente para os aviões de Controle e Dados. Quaisquer detalhes específicos da região não estarão disponíveis; Portanto, recomendamos que você tome todas as medidas necessárias o mais cedo possível.
Há algum impacto potencial se eu não tiver selecionado nenhuma política TLS e meu gateway usar apenas configurações HTTP/TCP?
Se seu gateway não usar nenhuma configuração TLS, seja por meio de SSLPolicy, SSLProfile, HTTPS ou TLS Listeners, não haverá impacto após agosto de 2025.
Próximos passos
Descubra mais sobre tipos e configurações de política TLS Visite Atualizações do Azure para aviso de descontinuação