Información de referencia técnica sobre el cifrado
Consulte este artículo para obtener información sobre los certificados, las tecnologías y los conjuntos de cifrado TLS usados para el cifrado en Microsoft 365. En este artículo también se proporcionan detalles sobre los desusos planeados.
- Si busca información general, consulte Cifrado en Microsoft 365.
- Si busca información de configuración, consulte Configuración del cifrado en Microsoft 365 Enterprise.
- Para obtener información específica sobre el desuso de TLS 1.1 y 1.0, consulte Deshabilitación de TLS 1.0 y 1.1 para Microsoft 365.
- Para obtener información sobre los conjuntos de cifrado compatibles con versiones específicas de Windows, consulte Conjuntos de cifrado en TLS/SSL (Schannel SSP).
- Para las cadenas de certificados, consulte Cadenas de cifrado de Microsoft 365 y Cadenas de cifrado de Microsoft 365: DOD y GCC High.
Sugerencia
Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.
Propiedad y administración de certificados de Microsoft Office 365
No es necesario comprar ni mantener certificados para Office 365. En su lugar, Office 365 usa sus propios certificados.
Estándares de cifrado actuales y desusos planeados
Para proporcionar el mejor cifrado de su clase, Office 365 revisa periódicamente los estándares de cifrado admitidos. A veces, los estándares antiguos están en desuso a medida que están obsoletos y son menos seguros. En este artículo se describen los conjuntos de cifrado admitidos actualmente y otros estándares y detalles sobre los desusos planeados.
Cumplimiento de FIPS para Microsoft 365
Todos los conjuntos de cifrado admitidos por Office 365 usan algoritmos aceptables en FIPS 140-2. Office 365 hereda las validaciones FIPS de Windows (a través de Schannel). Para obtener información sobre Schannel, consulte Conjuntos de cifrado en TLS/SSL (Schannel SSP).
Compatibilidad con AES256-CBC para Microsoft 365
A finales de agosto de 2023, Microsoft Purview Information Protection comenzará a usar Advanced Encryption Standard (AES) con una longitud de clave de 256 bits en el modo de encadenamiento de bloques de cifrado (AES256-CBC). En octubre de 2023, AES256-CBC será el valor predeterminado para el cifrado de Aplicaciones Microsoft 365 documentos y correos electrónicos. Es posible que tenga que tomar medidas para admitir este cambio en su organización.
¿Quién se ve afectado y qué debo hacer?
Use esta tabla para averiguar si tiene que realizar acciones:
| Aplicaciones cliente | Aplicaciones de servicio | ¿Se requiere acción? | ¿Qué tengo que hacer? |
|---|---|---|---|
| Aplicaciones de Microsoft 365 | Exchange Online, SharePoint Online | No | N/D |
| Office 2013, 2016, 2019 o 2021 | Exchange Online, SharePoint Online | Sí (opcional) | Consulte Configuración de Office 2013, 2016, 2019 o 2021 para el modo AES256-CBC. |
| Aplicaciones de Microsoft 365 | Exchange Server o híbrido | Sí (obligatorio) | Consulte Configuración de Exchange Server para obtener compatibilidad con AES256-CBC. |
| Office 2013, 2016, 2019 o 2021 | Exchange Server o híbrido | Sí (obligatorio) | Complete la opción 1 (obligatorio) y, a continuación , vea Configurar Office 2013, 2016, 2019 o 2021 para el modo AES256-CBC. |
| Aplicaciones de Microsoft 365 | MIP SDK | Sí (opcional) | Consulte Configuración del SDK de MIP para la compatibilidad con AES256-CBC. |
| Cualquiera | SharePoint Server | No | N/D |
Configuración de Office 2013, 2016, 2019 o 2021 para el modo AES256-CBC
Debe configurar Office 2013, 2016, 2019 o 2021 para usar el modo AES256-CBC mediante directiva de grupo o mediante el servicio de directivas en la nube para Microsoft 365. A partir de la versión 16.0.16327 de Aplicaciones Microsoft 365, el modo CBC se usa de forma predeterminada. Use la Encryption mode for Information Rights Management (IRM) configuración en User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.
Por ejemplo, para forzar el modo CBC, seleccione la configuración de directiva de grupo como se indica a continuación:
Modo de cifrado para Information Rights Management (IRM): [1, Cifrado de encadenamiento de bloques (CBC)]
Configuración de Exchange Server para la compatibilidad con AES256-CBC
Exchange Server no admite el descifrado de contenido que usa AES256-CBC. Para solucionar este problema, tiene dos opciones.
Opción 1
Los clientes que usen Exchange Online con el servicio Azure Rights Management Connector implementado se excluirán del cambio de publicación de AES256-CBC tanto en Exchange Online como en SharePoint Online.
Para pasar al modo AES256-CBC, complete estos pasos:
Instale la revisión en los servidores de Exchange cuando esté disponible. Para obtener la información más reciente sobre las fechas de envío, consulte la hoja de ruta del producto de Microsoft 365.
Si usa Exchange Server con el servicio Azure Rights Management Connector, tendrá que ejecutar el script de GenConnectorConfig.ps1 en cada servidor de Exchange. Para obtener más información, consulte Configuración de servidores para el conector rights management. Para descargar el conector de Azure RMS, consulte el Centro de descarga oficial de Microsoft.
Una vez que la organización haya instalado la revisión en todos los servidores de Exchange, abra un caso de soporte técnico y solicite que estos servicios estén habilitados para la publicación de AES256-CBC.
Opción 2
Esta opción le proporciona un tiempo adicional antes de que necesite aplicar revisiones a todos los servidores de Exchange. Use esta opción si no puede completar los pasos de la opción 1 cuando la revisión esté disponible. En su lugar, implemente la directiva de grupo o la configuración de cliente que obligue a los clientes de Microsoft 365 a seguir usando el modo AES128-ECB. Implemente esta configuración con directiva de grupo o mediante el servicio de directivas en la nube para Microsoft 365. Puede configurar Office y Aplicaciones Microsoft 365 para que Windows use el modo ECB o CBC con la Encryption mode for Information Rights Management (IRM) configuración en User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. A partir de la versión 16.0.16327 de Aplicaciones Microsoft 365, el modo CBC se usa de forma predeterminada.
Por ejemplo, para forzar el modo EBC para clientes Windows, establezca la configuración de directiva de grupo como se indica a continuación:
Modo de cifrado para Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Para configurar los valores de Office para Mac clientes, consulte Establecimiento de preferencias para todo el conjunto de Office para Mac.
Tan pronto como pueda, complete los pasos de la opción 1.
Configuración del SDK de MIP para la compatibilidad con AES256-CBC
Actualice al SDK de MIP 1.13 o posterior. Si decide actualizar al SDK de MIP 1.13, deberá configurar una configuración para forzar AES256-CBC. Para obtener más información, consulte actualización crítica del SDK de MIP versión 1.13.158. Las versiones posteriores del SDK de MIP protegerán los archivos y el correo electrónico de Microsoft 365 con AES256-CBC de forma predeterminada.
Versiones de TLS compatibles con Microsoft 365
TLS y SSL que precedieron a TLS son protocolos criptográficos que protegen la comunicación a través de una red mediante certificados de seguridad para cifrar una conexión entre equipos. Microsoft 365 admite TLS versión 1.2 (TLS 1.2).
Algunos de los servicios siguen siendo compatibles con la versión 1.3 de TLS (TLS 1.3).
Importante
Tenga en cuenta que las versiones de TLS están en desuso y que las versiones en desuso no deben usarse cuando estén disponibles las versiones más recientes. Si los servicios heredados no requieren TLS 1.0 o 1.1, debe deshabilitarlos.
Compatibilidad con TLS 1.0 y 1.1 en desuso
Office 365 dejó de admitir TLS 1.0 y 1.1 el 31 de octubre de 2018. Hemos completado la deshabilitación de TLS 1.0 y 1.1 en entornos GCC High y DoD. Comenzamos a deshabilitar TLS 1.0 y 1.1 para entornos globales y GCC a partir del 15 de octubre de 2020 y continuaremos con la implementación en las próximas semanas y meses.
Para mantener una conexión segura a los servicios Office 365 y Microsoft 365, todas las combinaciones cliente-servidor y explorador-servidor usan TLS 1.2 y conjuntos de cifrado modernos. Es posible que tenga que actualizar ciertas combinaciones cliente-servidor y navegador-servidor. Para obtener información sobre cómo afecta este cambio, consulte Preparación para el uso obligatorio de TLS 1.2 en Office 365.
Compatibilidad en desuso para 3DES
Desde el 31 de octubre de 2018, Microsoft 365 ya no admite el uso de conjuntos de cifrado 3DES para la comunicación con Microsoft 365. Más concretamente, Microsoft 365 ya no admite el conjunto de cifrado de TLS_RSA_WITH_3DES_EDE_CBC_SHA. Desde el 28 de febrero de 2019, este conjunto de cifrado se ha deshabilitado en Microsoft 365. Los clientes y servidores que se comunican con Microsoft 365 deben admitir uno o varios de los cifrados admitidos. Para obtener una lista de los cifrados admitidos, consulte Conjuntos de cifrado TLS compatibles con Microsoft 365.
Desuso de la compatibilidad con certificados SHA-1 en Microsoft 365
Desde junio de 2016, Microsoft 365 ya no acepta un certificado SHA-1 para las conexiones salientes o entrantes. Use SHA-2 (algoritmo hash seguro 2) o un algoritmo hash más seguro en la cadena de certificados.
Conjuntos de cifrado TLS admitidos por Microsoft 365
TLS usa conjuntos de cifrado, colecciones de algoritmos de cifrado, para establecer conexiones seguras. Microsoft 365 admite los conjuntos de cifrado enumerados en la tabla siguiente. En la tabla se enumeran los conjuntos de cifrado en orden de intensidad, con el conjunto de cifrado más seguro en primer lugar.
Microsoft 365 responde a una solicitud de conexión al intentar conectarse primero con el conjunto de cifrado más seguro. Si la conexión no funciona, Microsoft 365 intenta el segundo conjunto de cifrado más seguro de la lista, etc. El servicio continúa hacia abajo en la lista hasta que se acepta la conexión. Del mismo modo, cuando Microsoft 365 solicita una conexión, el servicio receptor elige si se usa TLS y qué conjunto de cifrado se va a usar.
| Nombre del conjunto de cifrado | Fuerza/algoritmo de intercambio de claves | Secreto hacia delante | Cifrado/intensidad | Algoritmo/fuerza de autenticación |
|---|---|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH/192 | Sí | AES/256 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH/128 | Sí | AES/128 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH/192 | Sí | AES/256 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH/128 | Sí | AES/128 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH/192 | Sí | AES/256 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH/128 | Sí | AES/128 | RSA/112 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA/112 | No | AES/256 | RSA/112 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA/112 | No | AES/256 | RSA/112 |
Los siguientes conjuntos de cifrado admitían protocolos TLS 1.0 y 1.1 hasta su fecha de desuso. En los entornos de GCC High y DoD, la fecha de desuso era el 15 de enero de 2020. En el caso de los entornos mundial y GCC, esa fecha era el 15 de octubre de 2020.
| Protocolos | Nombre del conjunto de cifrado | Fuerza/algoritmo de intercambio de claves | Secreto hacia delante | Cifrado/intensidad | Algoritmo/fuerza de autenticación |
|---|---|---|---|---|---|
| TLS 1.0, 1.1, 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH/192 | Sí | AES/256 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH/128 | Sí | AES/128 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA/112 | No | AES/256 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_128_CBC_SHA | RSA/112 | No | AES/128 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA/112 | No | AES/256 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA/112 | No | AES/256 | RSA/112 |
Algunos productos de Office 365 (incluido Microsoft Teams) usan Azure Front Door para finalizar las conexiones TLS y enrutar el tráfico de red de forma eficaz. Al menos uno de los conjuntos de cifrado admitidos por Azure Front Door a través de TLS 1.2 debe estar habilitado para conectarse correctamente a estos productos. Para Windows 10 y versiones posteriores, se recomienda habilitar uno o ambos conjuntos de cifrado ECDHE para mejorar la seguridad. Windows 7, 8 y 8.1 no son compatibles con los conjuntos de cifrado ECDHE de Azure Front Door y los conjuntos de cifrado DHE se han proporcionado para la compatibilidad con esos sistemas operativos.
Artículos relacionados
Conjuntos de cifrado TLS en Windows 10 v1903
Configurar el cifrado en Office 365 Enterprise
Mejoras criptográficas TLS/SSL (Centro de TI de Windows)
Preparar TLS 1.2 en Office 365 y CCO de Office 365
¿Cuáles son los conjuntos de cifrado actuales admitidos por Azure Front Door?