Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O protocolo TLS, conhecido anteriormente como protocolo SSL, é a tecnologia de segurança padrão para estabelecer um link criptografado entre um servidor Web e um cliente, como um navegador Web. Esse link garante que todos os dados passados entre o servidor e o cliente permaneçam privados e criptografados.
Para cumprir requisitos de segurança ou conformidade, o Azure Front Door dá suporte à criptografia TLS de ponta a ponta. O descarregamento TLS/SSL do Front Door encerra a conexão TLS, descriptografa o tráfego no Azure Front Door e o criptografa novamente antes de encaminhá-lo para a origem. Quando as conexões com a origem usam o endereço IP público da origem, é uma boa prática de segurança configurar o HTTPS como o protocolo de encaminhamento no Azure Front Door. Usando HTTPS como o protocolo de encaminhamento, você pode impor a criptografia TLS de ponta a ponta para todo o processamento da solicitação do cliente para a origem. O descarregamento TLS/SSL também terá suporte se você implantar uma origem privada com o Azure Front Door Premium usando o recurso Link Privado.
Este artigo explica como o Azure Front Door funciona com conexões TLS. Para obter mais informações sobre como usar certificados TLS com seus domínios personalizados, consulte HTTPS para domínios personalizados. Para saber como configurar um certificado TLS em seu domínio personalizado, consulte Configurar um domínio personalizado no Azure Front Door usando o portal do Azure.
Criptografia TLS de ponta a ponta
O TLS de ponta a ponta permite que você proteja dados confidenciais em trânsito para a origem enquanto aproveita recursos do Azure Front Door como balanceamento de carga global e cache. Alguns dos recursos também incluem roteamento baseado em URL, divisão de TCP, cache no local de borda mais próximo dos clientes e personalização de solicitações HTTP na borda.
O Azure Front Door descarrega as sessões TLS na borda e descriptografa as solicitações do cliente. Ele aplica as regras de roteamento configuradas para rotear as solicitações para a origem apropriada no grupo de origem. O Azure Front Door inicia uma nova conexão TLS com a origem e criptografa novamente todos os dados usando o certificado da origem antes de transmitir a solicitação para a origem. Qualquer resposta da origem é criptografada pelo mesmo processo de volta para o usuário final. Você pode configurar o Azure Front Door para usar HTTPS como o protocolo de encaminhamento para habilitar o TLS ponta a ponta.
Versões do TLS com suporte
O Azure Front Door dá suporte a duas versões do protocolo TLS: as versões 1.2 e 1.3 do TLS. Todos os perfis do Azure Front Door criados após setembro de 2019 usam o TLS 1.2 como o mínimo padrão com o TLS 1.3 habilitado. Atualmente, o Azure Front Door não dá suporte à mTLS (autenticação mútua/cliente).
Importante
A partir de 1º de março de 2025, o TLS 1.0 e 1.1 não são permitidos em novos perfis do Azure Front Door.
Para o Azure Front Door Standard e Premium, você pode configurar a política de TLS predefinida ou escolher o pacote de criptografia TLS com base nas necessidades de segurança da sua organização. Para obter mais informações, consulte a política TLS do Azure Front Door e configure a política TLS em um domínio personalizado do Front Door.
Para o Azure Front Door Classic e o Microsoft CDN Classic, você pode configurar a versão mínima do TLS no Azure Front Door nas configurações de HTTPS do domínio personalizado, usando o portal do Azure ou a API REST do Azure. Para uma versão mínima do TLS 1.2, a negociação tentará estabelecer o TLS 1.3 e, em seguida, o TLS 1.2. Quando o Azure Front Door iniciar o tráfego TLS para a origem, ele tentará negociar a melhor versão do TLS que a origem puder aceitar de modo confiável e consistente. As versões TLS com suporte para conexões de origem são TLS 1.2 e TLS 1.3. Caso deseje personalizar a suíte de criptografia de acordo com as necessidades, migre o serviço Front Door Classic e o serviço CDN Classic da Microsoft para o Azure Front Door Standard e Premium.
Observação
- Clientes com TLS 1.3 habilitado devem dar suporte a uma das Curvas EC em conformidade com o SDL da Microsoft, incluindo Secp384r1, Secp256r1 e Secp521, para fazer solicitações com êxito usando o Azure Front Door com TLS 1.3.
- Recomenda-se que os clientes usem uma dessas curvas como curva preferencial durante as solicitações para evitar o aumento da latência do handshake TLS, que pode resultar de várias viagens de ida e volta para negociar a curva EC com suporte.
Certificados com suporte
Ao criar seu certificado TLS/SSL, você precisa criar uma cadeia de certificados completa com uma AC (autoridade de certificação) permitida que faz parte da Lista de ACs Confiáveis da Microsoft. Se você usar uma autoridade de certificação sem permissão, sua solicitação será rejeitada.
Certificados de ACs internas ou certificados autoassinados não são permitidos.
Associação de recurso do Protocolo Online de Status de Certificado (OCSP)
Por padrão, há suporte para a associação do OCSP no Azure Front Door, e nenhuma configuração é necessária.
Conexão TLS de origem (Azure Front Door para origem)
Para conexões HTTPS, o Azure Front Door espera que a origem apresente o certificado de uma CA (autoridade de certificação) válida com um nome da entidade correspondendo ao nome do host da origem. Por exemplo, se o nome do host de origem for definido como myapp-centralus.contoso.net e o certificado que a origem apresenta durante o handshake TLS não tiver myapp-centralus.contoso.net nem *.contoso.net no nome da entidade, o Azure Front Door recusará a conexão e o cliente verá um erro.
Observação
O certificado deve ter uma cadeia de certificados completa, com certificados folha e intermediários. A AC raiz deve fazer parte da Lista de ACs confiáveis da Microsoft. Se um certificado sem cadeia completa é apresentado, não há garantia de que as solicitações que envolvem esse certificado funcionem conforme o esperado.
Em determinados cenários de uso, como testes, você pode desativar as verificações de nome do sujeito do certificado no Azure Front Door como uma solução alternativa para resolver falhas em conexões HTTPS. A origem ainda deve apresentar um certificado com uma cadeia confiável válida, mas não precisa corresponder ao nome do host de origem.
No Azure Front Door Standard e Premium, você pode configurar uma origem para desabilitar a verificação do nome do sujeito do certificado.
No Azure Front Door (clássico), você pode desabilitar a verificação do nome da entidade do certificado alterando as configurações do Azure Front Door no portal do Azure. Você também pode configurar a verificação usando as configurações do pool de back-end nas APIs do Azure Front Door.
Observação
Do ponto de vista de segurança, a Microsoft não recomenda desabilitar a verificação de nome do sujeito do certificado.
Conexão TLS de front-end (cliente para Azure Front Door)
Para habilitar o protocolo HTTPS para fornecer conteúdo com segurança em um domínio personalizado do Azure Front Door, você poderá optar por usar um certificado gerenciado pelo Azure Front Door ou usar seu próprio certificado.
Para saber mais, consulte HTTPS para domínios personalizados.
O certificado gerenciado do Azure Front Door fornece um certificado TLS/SSL padrão via DigiCert e é armazenado no Key Vault do Azure Front Door.
Se você optar por usar seu próprio certificado, poderá integrar um certificado de uma AC compatível que pode ser um TLS padrão, um certificado de validação estendido ou até mesmo um certificado curinga. Não há suporte para certificados autoassinados. Saiba Como habilitar HTTPS para um domínio personalizado.
Alternância automática de certificados
Para a opção de certificados gerenciados do Azure Front Door Standard/Premium, os certificados são gerenciados e automaticamente alternados dentro de 45 dias do tempo de expiração pelo Azure Front Door. Para a opção de certificado gerenciado clássico do Azure Front Door e cdn clássico do Azure, os certificados são gerenciados e giram automaticamente dentro de 90 dias após o tempo de expiração pelo Azure Front Door. Se você estiver usando o certificado gerenciado de SKUs clássico e ver que a data de expiração do certificado é menor que 60 dias ou 30 dias para o SKU Standard/Premium, registre um tíquete de suporte.
Importante
- Para o Azure Front Door Classic e a CDN Clássica do Azure, os certificados gerenciados não terão mais suporte a partir de 15 de agosto de 2025. Para evitar a interrupção do serviço, alterne para BYOC (Traga Seu Próprio Certificado) ou migre para o Azure Front Door Standard/Premium antes dessa data. Os certificados gerenciados existentes continuarão a funcionar automaticamente até 15 de agosto de 2025 e permanecerão válidos até 14 de abril de 2026. No entanto, é altamente recomendável mudar para BYOC ou migrar para o Front Door Standard/Premium antes de 15 de agosto de 2025, para evitar a revogação inesperada do certificado.
- A rotação automática de certificados gerenciados falhará se seus domínios não tiverem mapeamento CNAME direto para pontos de extremidade clássicos do Azure Front Door ou cdn clássicos do Azure. Consulte HTTPS clássico da CDN do Azure para domínios personalizados e HTTPS clássico do Azure Front Door para domínios personalizados.
Para seu próprio certificado TLS/SSL personalizado:
Defina a versão secreta como 'Latest' para que o certificado seja girado automaticamente para a versão mais recente quando uma versão mais recente do certificado estiver disponível no cofre de chaves. No caso de certificados personalizados, o certificado é rotacionado automaticamente dentro de 3-4 dias com uma versão mais recente, independentemente da data de expiração do certificado.
Se uma versão específica for selecionada, não haverá suporte para alternação automática. Você precisará selecionar novamente a nova versão manualmente para renovar o certificado. Leva até 24 horas para que a nova versão do certificado/do segredo seja implantada.
Observação
Os certificados gerenciados pelo Azure Front Door (Standard e Premium) são rotacionados automaticamente se o registro CNAME do domínio apontar diretamente para um ponto de extremidade do Front Door ou apontar indiretamente para um ponto de extremidade do Gerenciador de Tráfego. Caso contrário, você precisará validar novamente a propriedade do domínio para renovar os certificados.
A entidade de serviço do Front Door deve ter acesso ao key vault. A operação de implantação do certificado atualizado pelo Azure Front Door não causará tempo de inatividade na produção, desde que o nome da entidade ou o nome alternativo da entidade (SAN) do certificado não tenha sido alterado.
Conjuntos de criptografia com suporte
Para o TLS 1.2/1.3, há suporte para os seguintes conjuntos de criptografia:
- TLS_AES_256_GCM_SHA384 (somente TLS 1.3)
- TLS_AES_128_GCM_SHA256 (somente TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Observação
Versões antigas do TLS e criptografias fracas não têm mais suporte.
Use a política TLS para configurar conjuntos de criptografia específicos. O Azure Front Door Standard e Premium oferecem dois mecanismos para controlar a política TLS: você pode usar uma política predefinida ou uma política personalizada de acordo com suas próprias necessidades. Para obter mais informações, consulte Configurar a política TLS em um domínio personalizado do Front Door.
Observação
Para o Windows 10 e versões posteriores, recomendamos habilitar um ou ambos os conjuntos de criptografia ECDHE_GCM para maior segurança. Os Windows 8.1, 8 e 7 não são compatíveis com esses conjuntos de criptografias ECDHE_GCM. Os conjuntos de criptografias ECDHE_CBC e DHE foram fornecidos para compatibilidade com esses sistemas operacionais.