Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Transport Layer Security (TLS), anteriormente conhecido como Secure Sockets Layer (SSL), é a tecnologia de segurança padrão para estabelecer um link criptografado entre um servidor web e um cliente, como um navegador web. Esse link garante que todos os dados passados entre o servidor e o cliente permaneçam privados e criptografados.
Para atender aos seus requisitos de segurança ou conformidade, o Azure Front Door oferece suporte à criptografia TLS de ponta a ponta. O descarregamento TLS/SSL da Porta da Frente encerra a conexão TLS, descriptografa o tráfego na Porta da Frente do Azure e criptografa novamente o tráfego antes de encaminhá-lo para a origem. Quando as conexões com a origem usam o endereço IP público da origem, é uma boa prática de segurança configurar HTTPS como o protocolo de encaminhamento na sua Porta da Frente do Azure. Usando HTTPS como o protocolo de encaminhamento, você pode impor criptografia TLS de ponta a ponta para todo o processamento da solicitação do cliente até a origem. O descarregamento de TLS/SSL também é suportado se implantar uma origem privada com o Azure Front Door Premium usando o recurso Private Link.
Este artigo explica como o Azure Front Door funciona com conexões TLS. Para obter mais informações sobre como usar certificados TLS com seus próprios domínios personalizados, consulte HTTPS para domínios personalizados. Para saber como configurar um certificado TLS em seu próprio domínio personalizado, consulte Configurar um domínio personalizado no Azure Front Door usando o portal do Azure.
Encriptação TLS ponto a ponto
O TLS de extremidade a extremidade permite proteger dados confidenciais durante o trânsito para o destino, beneficiando dos recursos do Azure Front Door, como balanceamento de carga global e caché. Alguns dos recursos também incluem roteamento baseado em URL, divisão TCP, armazenamento em cache no ponto de presença mais próximo dos clientes e personalização de solicitações HTTP na borda.
O Azure Front Door encaminha as sessões TLS no edge e descriptografa as solicitações do cliente. Em seguida, ele aplica as regras de roteamento configuradas para rotear as solicitações para a origem apropriada no grupo de origem. Em seguida, o Azure Front Door inicia uma nova conexão TLS com a origem e criptografa novamente todos os dados usando o certificado da origem antes de transmitir a solicitação para a origem. Qualquer resposta da origem é criptografada através do mesmo processo de volta para o usuário final. Você pode configurar seu Azure Front Door para usar HTTPS como o protocolo de encaminhamento para habilitar o TLS de ponta a ponta.
Versões TLS suportadas
O Azure Front Door suporta duas versões do protocolo TLS: TLS versões 1.2 e 1.3. Todos os perfis do Azure Front Door criados após setembro de 2019 usam o TLS 1.2 como o mínimo padrão com o TLS 1.3 habilitado. Atualmente, o Azure Front Door não oferece suporte à autenticação cliente/mútua (mTLS).
Importante
A partir de 1º de março de 2025, o TLS 1.0 e 1.1 não são permitidos em novos perfis do Azure Front Door.
Para o Azure Front Door Standard e Premium, você pode configurar a política TLS predefinida ou escolher o pacote de codificação TLS com base nas necessidades de segurança da sua organização. Para obter mais informações, consulte Política de TLS do Azure Front Door e configure a política TLS em um domínio personalizado do Front Door.
Para o Azure Front Door classic e o Microsoft CDN classic, você pode configurar a versão mínima do TLS no Azure Front Door nas configurações HTTPS de domínio personalizado usando o portal do Azure ou a API REST do Azure. Para uma versão mínima do TLS 1.2, a negociação tentará estabelecer o TLS 1.3 e, em seguida, o TLS 1.2. Quando o Azure Front Door inicia o tráfego TLS para a origem, ele tentará negociar a melhor versão do TLS que a origem pode aceitar de forma confiável e consistente. As versões TLS suportadas para conexões de origem são TLS 1.2 e TLS 1.3. Se pretender personalizar a suite de cifras conforme as suas necessidades, migre o Front Door clássico e o Microsoft CDN clássico para o Azure Front Door standard e premium.
Nota
- Os clientes com TLS 1.3 habilitado são obrigados a dar suporte a uma das curvas EC compatíveis com Microsoft SDL, incluindo Secp384r1, Secp256r1 e Secp521, para fazer solicitações com êxito com o Azure Front Door usando TLS 1.3.
- Recomenda-se que os clientes usem uma dessas curvas como sua curva preferida durante as solicitações para evitar o aumento da latência do handshake TLS, que pode resultar de várias viagens de ida e volta para negociar a curva EC suportada.
Certificados suportados
Ao criar seu certificado TLS/SSL, você deve criar uma cadeia de certificados completa com uma Autoridade de Certificação (CA) permitida que faz parte da Lista de CAs Confiáveis da Microsoft. Se utilizar uma autoridade certificadora não permitida, o pedido será rejeitado.
Não são permitidos certificados de Autoridades Certificadoras internas ou certificados autoassinados.
Inclusão do Protocolo de Status de Certificado Online (OCSP)
O grampeamento OCSP é suportado por padrão no Azure Front Door e nenhuma configuração é necessária.
Conexão TLS de origem (Azure Front Door to origin)
Para conexões HTTPS, o Azure Front Door espera que a sua origem apresente um certificado de uma autoridade certificadora (CA) válida, com um nome de domínio que corresponda ao hostname de origem. Por exemplo, se seu nome de host de origem estiver definido como myapp-centralus.contoso.net e o certificado que sua origem apresenta durante o handshake TLS não tiver myapp-centralus.contoso.net ou *.contoso.net no nome do assunto, o Azure Front Door recusará a conexão e o cliente verá um erro.
Nota
O certificado deve ter uma cadeia de certificados completa com certificados finais e intermediários. A autoridade de certificação raiz deve fazer parte da lista de autoridades de certificação confiáveis da Microsoft. Se for apresentado um certificado sem uma cadeia completa, os pedidos que envolvem esse certificado não é garantido que funcionem como esperado.
Em certos casos de uso, como testes, pode-se desabilitar as verificações do nome do sujeito do certificado para o Azure Front Door como uma solução temporária para resolver falhas de conexão HTTPS. A origem ainda deve apresentar um certificado com uma cadeia válida e confiável, mas não precisa corresponder ao nome do host de origem.
No Azure Front Door Standard e Premium, você pode configurar uma origem para desabilitar a verificação do nome do titular do certificado.
No Azure Front Door (clássico), você pode desabilitar a verificação do nome do assunto do certificado alterando as configurações do Azure Front Door no portal do Azure. Você também pode configurar a verificação usando as configurações do pool de back-end nas APIs do Azure Front Door.
Nota
Do ponto de vista da segurança, a Microsoft não recomenda desativar a verificação do nome do sujeito do certificado.
Conexão TLS do Frontend (do cliente para o Azure Front Door)
Para habilitar o protocolo HTTPS para entrega segura de conteúdo em um domínio personalizado do Azure Front Door, você pode optar por usar um certificado gerenciado pelo Azure Front Door ou usar seu próprio certificado.
Para obter mais informações, consulte HTTPS para domínios personalizados.
O certificado gerenciado do Azure Front Door fornece um certificado TLS/SSL padrão via DigiCert e é armazenado no Cofre da Chave do Azure Front Door.
Se você optar por usar seu próprio certificado, poderá integrar um certificado de uma CA suportada que pode ser um TLS padrão, um certificado de validação estendida ou até mesmo um certificado curinga. Não há suporte para certificados autoassinados. Saiba como habilitar HTTPS para um domínio personalizado.
Autorotação de certificados
Para a opção de certificado gerido do Azure Front Door Standard/Premium, os certificados são geridos e renovados automaticamente dentro de 45 dias antes da data de validade pelo Azure Front Door. Para a opção de certificado gerenciado do Azure Front Door Classic e do Azure CDN Classic, os certificados são gerenciados e renovados automaticamente pelo Azure Front Door dentro de 90 dias após o tempo de expiração. Se você estiver usando o certificado gerenciado de SKUs clássico e vir que a data de expiração do certificado está a menos de 60 dias ou 30 dias para o SKU Standard/Premium, registre um tíquete de suporte.
Importante
- Para o Azure Front Door Classic e o Azure CDN Classic, os certificados gerenciados não terão mais suporte a partir de 15 de agosto de 2025. Para evitar a interrupção do serviço, mude para Bring Your Own Certificate (BYOC) ou migre para o Azure Front Door Standard/Premium antes desta data. Os certificados gerenciados existentes continuarão a ser renovados automaticamente até 15 de agosto de 2025 e permanecerão válidos até 14 de abril de 2026. No entanto, é altamente recomendável mudar para BYOC ou migrar para o Front Door Standard/Premium antes de 15 de agosto de 2025, para evitar a revogação inesperada do certificado.
- A rotação automática para certificados geridos falhará se os seus domínios não tiverem um mapeamento CNAME direto para endpoints do Azure Front Door Classic ou do Azure CDN Classic. Consulte Azure CDN Classic HTTPS para domínios personalizados e Azure Front Door Classic HTTPS para domínios personalizados.
Para o seu próprio certificado TLS/SSL personalizado:
Defina a versão secreta como 'Mais recente' para que o certificado seja automaticamente girado para a versão mais recente quando uma versão mais recente do certificado estiver disponível no cofre de chaves. Para certificados personalizados, o certificado é renovado automaticamente dentro de 3-4 dias com uma versão mais recente do certificado, independentemente da data de expiração do certificado.
Se uma versão específica for selecionada, a rotação automática não será suportada. Você terá que selecionar novamente a nova versão manualmente para atualizar o certificado. Leva até 24 horas para que a nova versão do certificado/segredo seja implantada.
Nota
Os certificados geridos do Azure Front Door (Standard e Premium) são renovados automaticamente se o registo CNAME do domínio apontar diretamente para um endpoint do Front Door ou apontar indiretamente para um endpoint do Gestor de Tráfego. Caso contrário, você precisará revalidar a propriedade do domínio para alternar os certificados.
A entidade de serviço do Front Door deve ter acesso ao Key Vault. A implementação de certificado atualizado do Azure Front Door não causará nenhuma interrupção na produção, desde que o nome da entidade ou o nome alternativo da entidade (SAN) do certificado não tenha sido alterado.
Pacotes de codificação suportados
Para TLS 1.2/1.3, os seguintes pacotes de codificação são suportados:
- TLS_AES_256_GCM_SHA384 (apenas TLS 1.3)
- TLS_AES_128_GCM_SHA256 (apenas TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (Protocolo de criptografia TLS com DHE, RSA, AES 128 GCM e SHA256)
Nota
Versões antigas de TLS e cifras fracas não são mais suportadas.
Use política TLS para configurar suites de cifra específicas. O Azure Front Door Standard e Premium oferecem dois mecanismos para controlar a política TLS: você pode usar uma política predefinida ou uma política personalizada de acordo com suas próprias necessidades. Para obter mais informações, consulte Configurar a política TLS em um domínio personalizado da Front Door.
Nota
Para o Windows 10 e versões posteriores, recomendamos ativar um ou ambos os pacotes de codificação ECDHE_GCM para maior segurança. O Windows 8.1, 8 e 7 não são compatíveis com esses pacotes de codificação ECDHE_GCM. Os pacotes de codificação ECDHE_CBC e DHE foram fornecidos para compatibilidade com esses sistemas operacionais.