為提升安全性,自 2025 年 3 月起,我們將淘汰傳輸層安全標準 (TLS) 1.1 以下版本的支援。在 App Engine 標準環境中更新應用程式設定,以便使用 TLS 1.2 以上版本,以及相應的安全加密套件組合。
選取最新的 TLS 版本後,App Engine 會自動封鎖不安全的流量,而不需要您設定全球外部應用程式負載平衡器,以便將要求轉送至應用程式。
如要升級現有應用程式,讓其僅使用傳輸層安全標準 (TLS) 1.2 以上版本,請按照本指南的操作說明操作。
支援的 TLS 版本和加密套件
TLS 連線的安全性取決於協商的加密套件,也就是密碼編譯演算法的組合。這些加密套件會以 IANA 值標示,詳情請見下表:
| TLS 版本 | IANA 值 | 加密套件 |
|---|---|---|
| TLS 1.3 | 0x1301 | TLS_AES_128_GCM_SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 | |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 | |
| TLS 1.2 | 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | |
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
更新應用程式允許的 TLS 版本
您可以使用 Google Cloud 主控台或 gcloud CLI 更新 TLS 版本。如需工具專屬步驟,請按一下所需工具的分頁標籤:
控制台
gcloud
建立或更新應用程式時,請使用 --ssl-policy 旗標指定允許的最低 TLS 版本。
如要在建立應用程式時設定最低 TLS 版本,請按照下列步驟操作:
gcloud app create --ssl-policy=TLS_VERSION
如要在更新應用程式時設定最低 TLS 版本,請按照下列步驟操作:
gcloud app update --ssl-policy=TLS_VERSION
以 TLS_VERSION_1_2 取代 TLS_VERSION。這項設定只允許使用 TLS 1.2 以上版本,並搭配使用新式加密套件。如果您想允許安全性較低的 TLS 版本 (例如 1.0 以上版本),請將 TLS_VERSION 替換為 TLS_VERSION_1_0。不過,我們建議您更新應用程式,以便使用最新的支援 TLS 版本。
停用自訂 TLS 版本和加密法
如果您更新應用程式設定以使用 TLS 1.2 以上版本,App Engine 會自動封鎖使用 TLS 1.1 以下版本的所有不安全流量。
如果您使用Cloud Load Balancing 和無伺服器 NEGS 將流量路由至 App Engine 應用程式,則可以定義 SSL 安全性政策,停用 TLS 版本或密碼。指定 HTTPS 或 SSL 連線可使用的 TLS 版本和加密方式。
後續步驟
如要驗證及管理 SSL 憑證,請參閱「使用安全資料傳輸層 (SSL) 保護自訂網域」。
如要讓 Cloud Load Balancing 管理自訂網域的傳入要求,請參閱「將 App Engine 自訂網域遷移至 Cloud Load Balancing」一文。