Migración a TLS 1.2 para Azure Resource Manager

  • Artículo

TLS (Seguridad de la capa de transporte) es un protocolo de seguridad que establece canales de cifrado a través de redes de equipos. TLS 1.2 es el estándar del sector actual y es compatible con Azure Resource Manager. Para ofrecer compatibilidad con versiones anteriores, Azure Resource Manager también admite versiones anteriores, como TLS 1.0 y 1.1, pero esa compatibilidad ha llegado a su fin.

Para garantizar que Azure cumple los requisitos normativos y que proporciona una mayor seguridad a los clientes, Azure Resource Manager dejará de admitir protocolos anteriores a TLS 1.2 el 30 septiembre de 2024.

En este artículo se proporcionan instrucciones para quitar dependencias de protocolos de seguridad anteriores.

¿Por qué migrar a TLS 1.2?

TLS cifra los datos que se envían a través de Internet para impedir que usuarios malintencionados accedan a información privada y confidencial. El cliente y el servidor realizan un protocolo de enlace TLS para comprobar la identidad del otro y determinar cómo se comunicarán. Durante el protocolo de enlace, cada entidad identifica qué versiones de TLS usan. El cliente y el servidor pueden comunicarse si ambos admiten una versión común.

TLS 1.2 es más seguro y rápido que sus predecesores.

Azure Resource Manager es el servicio de implementación y administración para Azure. Resource Manager permite crear, actualizar y eliminar recursos en la cuenta de Azure. Para reforzar la seguridad y mitigar cualquier ataque futuro que podría producirse por cambiar a una versión anterior del protocolo, Azure Resource Manager ya no admitirá TLS 1.1 ni versiones anteriores. Para seguir usando Azure Resource Manager, asegúrese de que todos los clientes que llaman a Azure usan TLS 1.2 o una versión posterior.

Preparación para la migración a TLS 1.2

Se recomienda seguir estos pasos como preparación para migrar los clientes a TLS 1.2:

  • Actualice el sistema operativo a la versión más reciente.

  • Actualice las bibliotecas y marcos de desarrollo a sus versiones más recientes. Por ejemplo, Python 3.8 admite TLS 1.2.

  • Corrija las instancias codificadas de forma rígida de los protocolos de seguridad anteriores a TLS 1.2.

  • Notifique a los clientes y asociados la migración del producto o servicio a TLS 1.2.

Para obtener instrucciones más detalladas, consulte la lista de comprobación para dejar en desuso versiones anteriores de TLS en su entorno.

Sugerencias rápidas

  • Windows 8+ tiene TLS 1.2 habilitado de forma predeterminada.

  • Windows Server 2016+ tiene TLS 1.2 habilitado de forma predeterminada.

  • Siempre que sea posible, evite codificar de forma rígida la versión del protocolo. En su lugar, configure las aplicaciones para que siempre recurran a la versión de TLS predeterminada del sistema operativo.

    Por ejemplo, puede habilitar la marca SystemDefaultTLSVersion en aplicaciones de .NET Framework para recurrir a la versión predeterminada del sistema operativo. Este enfoque permite que las aplicaciones aprovechen las versiones futuras de TLS.

    Si no puede evitar la codificación rígida, especifique TLS 1.2.

  • Actualice las aplicaciones que tienen como destino .NET Framework 4.5 o versiones anteriores. En su lugar, use .NET Framework 4.7 o versiones posteriores, ya que estas versiones admiten TLS 1.2.

    Por ejemplo, Visual Studio 2013 no admite TLS 1.2. En su lugar, use como mínimo la versión más reciente de Visual Studio 2017.

  • Puede usar SSL Labs de Qualys para identificar qué versión de TLS solicitan los clientes que se conectan a la aplicación.

  • Puede usar Fiddler para identificar qué versión de TLS usa el cliente al enviar solicitudes HTTPS.

Pasos siguientes