Seguridad de la capa de transporte en Azure Backup
Seguridad de la capa de transporte (TLS) es un protocolo de cifrado que protege los datos cuando se transfieren a través de una red. Azure Backup utiliza el protocolo Seguridad de la capa de transporte para proteger la privacidad de los datos de copia de seguridad que se transfieren. En este artículo se describen los pasos para habilitar el protocolo TLS 1.2, que proporciona seguridad mejorada con respecto a las versiones anteriores.
Versiones anteriores de Windows
Si el equipo ejecuta versiones anteriores de Windows, se deben instalar las actualizaciones correspondientes que se indican a continuación y se deben aplicar los cambios de registro documentados en los artículos de KB.
| Sistema operativo | artículo de KB |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Nota
La actualización instalará los componentes de protocolo necesarios. Después de la instalación, debe realizar los cambios en la clave del Registro mencionados en los artículos de KB anteriores para habilitar correctamente los protocolos necesarios.
Comprobación del Registro de Windows
Configuración de los protocolos de SChannel
Las siguientes claves del Registro garantizan que el protocolo TLS 1.2 está habilitado en el nivel de componente de SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Nota
Los valores que se muestran se establecen de forma predeterminada en Windows Server 2012 R2 y versiones más recientes. En el caso de estas versiones de Windows, si las claves del Registro no están presentes, no es necesario crearlas.
Configuración de .NET Framework
Las claves del Registro siguientes configuran .NET Framework para que admita la criptografía segura. Puede obtener más información sobre la configuración de .NET Framework aquí.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Cambios en los certificados TLS de Azure
Los puntos de conexión de TLS/SSL de Azure ahora contienen certificados actualizados que se encadenan a las nuevas entidades de certificación raíz. Asegúrese de que los siguientes cambios incluyen las entidades de certificación raíz actualizadas. Obtenga más información sobre los posibles impactos en las aplicaciones.
Anteriormente, la mayoría de los certificados TLS usados por los servicios de Azure se encadenaban a la siguiente entidad de certificación raíz:
| Nombre común de la entidad de certificación | Huella digital (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Ahora, los certificados TLS usados por los servicios de Azure ayudan a encadenarse a una de las siguientes entidades de certificación raíz:
| Nombre común de la entidad de certificación | Huella digital (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| DgiCert Global Root CA | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Preguntas más frecuentes
¿Por qué habilitar TLS 1.2?
TLS 1.2 es más seguro que los protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1. Los servicios de Azure Backup ya admiten totalmente TLS 1.2.
¿Qué determina el protocolo de cifrado usado?
La versión de protocolo más alta admitida por el cliente y el servidor se negocia para establecer la conversación cifrada. Para obtener más información sobre el protocolo de enlace TLS, vea Establecimiento de una sesión segura mediante TLS.
¿Cuál es el impacto de no habilitar TLS 1.2?
Para mejorar la seguridad de los ataques por degradación del protocolo, Azure Backup está empezando a deshabilitar las versiones de TLS anteriores a 1.2 de forma escalonada. Esto forma parte de un cambio a largo plazo en los servicios para prohibir las conexiones de protocolos heredados y conjuntos de cifrado. Los servicios y los componentes de Azure Backup son totalmente compatibles con TLS 1.2. Sin embargo, las versiones de Windows que carecen de actualizaciones necesarias o de ciertas configuraciones personalizadas pueden seguir impidiendo la oferta de protocolos TLS 1.2. Esto puede causar errores, incluidos, entre otros, uno o varios de los siguientes:
- Posibles errores en las operaciones de copia de seguridad y restauración.
- Errores de conexión de componentes de copia de seguridad 10054 (el host remoto ha cerrado forzosamente una conexión existente).
- Los servicios relacionados con Azure Backup no se detendrán o iniciarán del modo habitual.