Protocolo de seguridad de la capa de transporte

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10

Este tema para el profesional de TI describe cómo funciona el protocolo de Seguridad de la capa de transporte (TLS) y cómo proporciona vínculos a las RFC de IETF para TLS 1.0, TLS 1.1 y TLS 1.2.

Nota:

En una versión futura de Windows Server, TLS 1.0 y 1.1 se deshabilitarán de forma predeterminada. Para obtener más información, consulte los recursos de deshabilitación de TLS 1.0 y 1.1.

Los protocolos TLS (y SSL) se encuentran entre la capa del protocolo de aplicación y la capa TCP/IP, donde pueden proteger y enviar datos de la aplicación a la capa de transporte. Dado que los protocolos funcionan entre la capa de aplicación y la capa de transporte, TLS y SSL pueden admitir varios protocolos de capa de aplicación.

TLS y SSL asumen que un transporte orientado a la conexión, normalmente TCP, está en uso. El protocolo permite a las aplicaciones cliente y servidor detectar los siguientes riesgos de seguridad:

  • Manipulación de mensajes

  • Interceptación de mensajes

  • Falsificación de mensajes

Los protocolos TLS y SSL se pueden dividir en dos capas. La primera capa consta del protocolo de aplicación y los tres protocolos de establecimiento de comunicación: el protocolo de enlace, el protocolo de especificación de cifrado de cambios y el protocolo de alerta. La segunda capa es el protocolo de registro.

Capas de protocolo TLS y SSL

El SSP de Schannel implementa los protocolos TLS y SSL sin modificaciones. El protocolo SSL es propietario, pero el Grupo de trabajo de ingeniería de Internet genera las especificaciones de TLS públicas. Para obtener información sobre qué versión de TLS o SSL se admite en las versiones de Windows, consulte Protocolos en TLS/SSL (Schannel SSP). Cada especificación contiene información sobre:

  • Protocolo de registro TLS

  • Protocolos de establecimiento de comunicación TLS: Protocolo de especificación de cifrado de cambios: protocolo de alerta

  • Cálculos criptográficos

  • Conjuntos de cifrado obligatorios

  • Protocolo de datos de aplicación

RFC 5246: Protocolo de Seguridad de la capa de transporte (TLS) versión 1.2

RFC 4346: The Transport Layer Security (TLS) Protocol Version 1.1

RFC 2246: The TLS Protocol Version 1.0

Reanudación de la sesión TLS.

Introducido en Windows Server 2012 R2, el SSP de Schannel implementó la parte del lado servidor de la reanudación de la sesión TLS. La implementación de cliente de RFC 5077 se agregó en Windows 8.

Los dispositivos que conectan TLS a servidores necesitan volver a conectarse con frecuencia. La reanudación de la sesión TLS reduce el costo de establecer conexiones TLS, porque implica un protocolo de enlace TLS abreviado. Esto facilita más intentos de reanudación al permitir que un grupo de servidores TLS reanuden entre sí las sesiones TLS. Esta modificación proporciona el siguiente ahorro para cualquier cliente TLS que admita RFC 5077, incluidos los dispositivos Windows Phone y Windows RT:

  • Un uso de recursos reducido en el servidor

  • Un ancho de banda reducido, lo que mejora la eficacia de las conexiones de cliente

  • Reduce el tiempo empleado para el protocolo de enlace TLS debido a reanudaciones de la conexión.

Para obtener información sobre la reanudación de la sesión TLS sin estado, consulte el documento IETF RFC 5077.

Negociación de protocolo de aplicación

Windows Server 2012 R2 y Windows 8.1 introdujo compatibilidad que permite la negociación del protocolo de aplicación TLS del lado cliente. Las aplicaciones pueden aprovechar los protocolos como parte del desarrollo estándar de HTTP 2.0 y los usuarios pueden acceder a los servicios en línea como Google y Twitter mediante aplicaciones que ejecutan el protocolo SPDY.

Para obtener información sobre el funcionamiento de la negociación del protocolo de aplicación, consulte Extensión de negociación del protocolo de la capa de aplicación de la seguridad de la capa de transporte (TLS).

Compatibilidad con TLS de las extensiones de Indicación de nombre de servidor

La característica Indicación de nombre de servidor (SNI) extiende los protocolos SSL y TLS para permitir la identificación adecuada del servidor cuando se ejecuta una gran cantidad de imágenes virtuales en un solo servidor. En un escenario de hospedaje virtual, se hospedan varios dominios, cada uno con su propio certificado potencialmente diferente, en un solo servidor. En este caso, el servidor no puede saber de antemano qué certificado se envía al cliente. SNI permite que el cliente informe antes al dominio de destino en el protocolo, y esto permite que el servidor seleccione correctamente el certificado adecuado.

Esto proporciona la siguiente funcionalidad adicional:

  • Permite hospedar varios sitios web SSL en una combinación de puerto e IP única.

  • Reduce el uso de memoria cuando se hospedan varios sitios web SSL en un servidor web único.

  • Permite que una mayor cantidad de usuarios se conecten a sitios web SSL simultáneamente.