2025 年 11 月 1 日,Azure Blob 存储将停止支持传输层安全性 (TLS) 版本 1.0 和 1.1。 TLS 1.2 将成为新的最低 TLS 版本。 此项更改会影响所有云中使用 TLS 1.0 和 1.1 的所有现有和新的 Blob 存储帐户。 已使用 TLS 1.2 的存储帐户不受此项更改的影响。
为了避免连接到存储帐户的应用程序发生中断,必须确保你的帐户要求客户端使用 TLS 1.2 发送和接收数据,并删除对 TLS 版本 1.0 和 1.1 的依赖关系。
传输层安全性 (TLS) 是一种 Internet 安全协议,它通过网络建立加密通道来加密应用程序和服务器之间的通信。 通过 HTTPS 连接访问存储数据时,客户端应用程序和存储帐户之间的通信将使用 TLS 进行加密。
TLS 对通过 Internet 发送的数据进行加密,以防止恶意用户访问私人敏感信息。 客户端和服务器执行 TLS 握手以验证彼此的身份,并确定双方要怎样通信。 在握手期间,每一方会识别各自使用的 TLS 版本。 如果客户端和服务器都支持某个通用版本,则可以相互通信。
我们建议客户通过将 TLS 1.2 用于 Azure 存储来保护其基础结构。 较旧的 TLS 版本(1.0 和 1.1)即将被弃用和删除,以满足不断发展的技术和监管标准(FedRamp、NIST),并为我们的客户提供更高的安全性。
TLS 1.2 比 TLS 1.0 和 1.1 更安全、更快速,后者不支持新式加密算法和密码套件。 虽然许多使用 Azure 存储的客户已开始使用 TLS 1.2,但我们将分享进一步的指导,以帮助仍在使用 TLS 1.0 或 1.1 的客户更快完成这种过渡。
首先,确定向帐户的 Blob 存储服务发出请求的每个客户端。 然后,确保每个客户端都使用 TLS 1.2 发出这些请求。
对于每个客户端应用程序,我们建议执行以下任务。
将操作系统更新到最新版本。
将开发库和框架更新到最新版本。
修复旧安全协议 TLS 1.0 和 1.1 的硬编码实例。
将客户端配置为使用 TLS 1.2。 请参阅为客户端应用程序配置传输层安全性 (TLS)。
如需更详细的指导,请查看环境中有关弃用早期 TLS 版本的清单。
重要
通知客户与合作伙伴,你的产品或服务将迁移到 TLS 1.2,让他们对其应用程序进行必要的更改。
在弃用日期之前,可以启用 Azure 策略来强制实施最低 TLS 版本。
为了了解配置最低 TLS 版本可能会对客户端应用程序产生的影响,我们建议你对 Azure 存储帐户启用日志记录,并在间隔一段时间后分析日志,以检测 TLS 客户端应用程序使用的是哪个版本。
如果你确信来自使用较旧版 TLS 的客户端的流量很小,或者允许使用较旧版 TLS 发出的请求失败,则可开始在存储帐户上实施最低版本的 TLS。
若要了解如何检测客户端应用程序使用的 TLS 版本,然后强制实施 TLS 1.2 作为允许的最低版本,请参阅对 Azure 存储传入请求强制实施传输层安全性 (TLS) 的最低要求版本。
Windows 8+ 中默认已启用 TLS 1.2。
Windows Server 2016+ 中默认已启用 TLS 1.2。
如果可能,请避免对协议版本进行硬编码。 应该将应用程序配置为始终遵循操作系统的默认 TLS 版本。
例如,可以在 .NET Framework 应用程序中启用 SystemDefaultTLSVersion 标志以遵循操作系统的默认版本。 这样,应用程序便可以利用将来的 TLS 版本。
如果无法避免硬编码,请指定 TLS 1.2。
升级面向 .NET Framework 4.5 或更低版本的应用程序。 请改用 .NET Framework 4.7 或更高版本,因为这些版本支持 TLS 1.2。
例如,Visual Studio 2013 不支持 TLS 1.2。 至少应使用 Visual Studio 2017 最新发行版。
使用 Qualys SSL Labs 来识别连接到应用程序的客户端所请求的 TLS 版本。
使用 Fiddler 来识别当你发出 HTTPS 请求时客户端使用的 TLS 版本。
解决 TLS 1.0 问题,第 2 版 - 深入了解如何迁移到 TLS 1.2。
如何在客户端上启用 TLS 1.2 - 适用于 Microsoft Configuration Manager。
为客户端应用程序配置传输层安全性 (TLS) - 包含有关在 PowerShell 中更新 TLS 版本的说明
在环境中为 Microsoft Entra ID TLS 1.1 和 1.0 启用 TLS 1.2 支持的设置已弃用 - 包含有关为 WinHTTP 更新 TLS 版本的信息。
.NET Framework 中的传输层安全性 (TLS) 最佳做法 - 为面向 .NET Framework 的应用程序配置安全协议时的最佳做法。
.NET Framework 中的 TLS 最佳做法 - 在 GitHub 上提出有关 .NET Framework 中的最佳做法的问题。
排查 TLS 1.2 与 PowerShell 的兼容性问题 - 执行探测以检查 TLS 1.2 兼容性,并识别与 PowerShell 不兼容时出现的问题