Azure API 管理中现已提供 TLS 1.3 预览版

Azure API Management 引入 TLS 1.3 支持

2024年2月的第一周,Azure API Management 在 V1 和 V2 层级中引入了 TLS 1.3 支持。该更新将逐步在各个区域推出。对于入站流量,V1 和 V2 层级将自动支持来自 API 客户端的 TLS 1.3 请求。

对于出站流量,V1 层级需要手动激活 TLS 1.3,而 V2 层级将在后续更新中获得对 TLS 1.3 出站流量的支持。此外,未来几周将发布一个更新,允许通过 Azure 门户、ARM API、CLI 和 SDK 等多种渠道启用或禁用出站流量的加密套件。

TLS 1.3 的优势

TLS 1.3 是互联网上广泛使用的安全协议的最新版本,它通过加密数据来保护端点之间的通信通道,取代了过时的加密算法,增强了安全性,并在握手过程中优先考虑加密。与之前的版本不同,TLS 1.3 在不增加额外往返或 CPU 成本的情况下确保了客户端认证的保密性,并显著提升了安全措施。

兼容性与测试

微软表示,对于使用浏览器或 .NET HTTP 客户端等库的开发者来说,将 API 客户端或服务与 TLS 1.3 协议集成应该不会出现问题。然而,连接到 Azure API Management 的客户端的手动 TLS 握手配置需要检查以确保与 TLS 1.3 的兼容性。开发者强烈建议在其应用程序和服务中测试 TLS 1.3。

TLS 1.3 对 API 客户端的影响

微软的 Fernando Mejia 表示,TLS 1.3 支持预计不会对客户产生负面影响,TLS 1.2 客户端将继续正常工作。然而,TLS 1.3 不允许客户端证书重新协商。如果 Azure API Management 实例依赖客户端证书重新协商来接收和验证客户端证书,则不会默认启用 TLS 1.3,而是默认使用 TLS 1.2 以避免对 API 客户端的影响。

常见问题与反馈

微软在原始博客文章中包含了一个 FAQ 部分,回答了社区关于 TLS 1.3 支持的常见问题。例如,从 2024 年 2 月 5 日起,如果客户端支持 TLS 1.3,部分客户可能会开始看到使用 TLS 1.3 握手的入站客户端请求。客户无法控制更新的时间,它将是常规发布的一部分。预计这些 TLS 1.3 握手将在 2024 年 3 月底稳定。

微软鼓励用户提供关于 Azure API Management 中 TLS 1.3 预览的反馈。对于问题,用户可以在 Microsoft Q&A 上寻求社区专家的帮助。需要技术支持的客户可以使用 Azure 门户创建支持请求。

阅读 25
0 条评论