閱讀英文

共用方式為

迁移到用于 Azure Blob 存储的 TLS 1.2

  • 發行項
  • 2024/10/16

2025 年 11 月 1 日,Azure Blob 存储将停止支持传输层安全性 (TLS) 版本 1.0 和 1.1。 TLS 1.2 将成为新的最低 TLS 版本。 此项更改会影响所有云中使用 TLS 1.0 和 1.1 的所有现有和新的 Blob 存储帐户。 已使用 TLS 1.2 的存储帐户不受此项更改的影响。

为了避免连接到存储帐户的应用程序发生中断,必须确保你的帐户要求客户端使用 TLS 1.2 发送和接收数据,并删除对 TLS 版本 1.0 和 1.1 的依赖关系。

关于传输层安全

传输层安全性 (TLS) 是一种 Internet 安全协议,它通过网络建立加密通道来加密应用程序和服务器之间的通信。 通过 HTTPS 连接访问存储数据时,客户端应用程序和存储帐户之间的通信将使用 TLS 进行加密。

TLS 对通过 Internet 发送的数据进行加密,以防止恶意用户访问私人敏感信息。 客户端和服务器执行 TLS 握手以验证彼此的身份,并确定双方要怎样通信。 在握手期间,每一方会识别各自使用的 TLS 版本。 如果客户端和服务器都支持某个通用版本,则可以相互通信。

为何使用 TLS 1.2?

我们建议客户通过将 TLS 1.2 用于 Azure 存储来保护其基础结构。 较旧的 TLS 版本(1.0 和 1.1)即将被弃用和删除,以满足不断发展的技术和监管标准(FedRamp、NIST),并为我们的客户提供更高的安全性。

TLS 1.2 比 TLS 1.0 和 1.1 更安全、更快速,后者不支持新式加密算法和密码套件。 虽然许多使用 Azure 存储的客户已开始使用 TLS 1.2,但我们将分享进一步的指导,以帮助仍在使用 TLS 1.0 或 1.1 的客户更快完成这种过渡。

将客户端配置为使用 TLS 1.2

首先,确定向帐户的 Blob 存储服务发出请求的每个客户端。 然后,确保每个客户端都使用 TLS 1.2 发出这些请求。

对于每个客户端应用程序,我们建议执行以下任务。

如需更详细的指导,请查看环境中有关弃用早期 TLS 版本的清单

重要

通知客户与合作伙伴,你的产品或服务将迁移到 TLS 1.2,让他们对其应用程序进行必要的更改。

强制实施 TLS 1.2 作为允许的最低版本

在弃用日期之前,可以启用 Azure 策略来强制实施最低 TLS 版本。

为了了解配置最低 TLS 版本可能会对客户端应用程序产生的影响,我们建议你对 Azure 存储帐户启用日志记录,并在间隔一段时间后分析日志,以检测 TLS 客户端应用程序使用的是哪个版本。

如果你确信来自使用较旧版 TLS 的客户端的流量很小,或者允许使用较旧版 TLS 发出的请求失败,则可开始在存储帐户上实施最低版本的 TLS。

若要了解如何检测客户端应用程序使用的 TLS 版本,然后强制实施 TLS 1.2 作为允许的最低版本,请参阅对 Azure 存储传入请求强制实施传输层安全性 (TLS) 的最低要求版本

快速提示

  • Windows 8+ 中默认已启用 TLS 1.2。

  • Windows Server 2016+ 中默认已启用 TLS 1.2。

  • 如果可能,请避免对协议版本进行硬编码。 应该将应用程序配置为始终遵循操作系统的默认 TLS 版本。

  • 例如,可以在 .NET Framework 应用程序中启用 SystemDefaultTLSVersion 标志以遵循操作系统的默认版本。 这样,应用程序便可以利用将来的 TLS 版本。

  • 如果无法避免硬编码,请指定 TLS 1.2。

  • 升级面向 .NET Framework 4.5 或更低版本的应用程序。 请改用 .NET Framework 4.7 或更高版本,因为这些版本支持 TLS 1.2。

    例如,Visual Studio 2013 不支持 TLS 1.2。 至少应使用 Visual Studio 2017 最新发行版。

  • 使用 Qualys SSL Labs 来识别连接到应用程序的客户端所请求的 TLS 版本。

  • 使用 Fiddler 来识别当你发出 HTTPS 请求时客户端使用的 TLS 版本。

后续步骤