Compartir a través de


¿Qué es TLS/SSL en Azure App Service?

Nota:

La retirada de TLS 1.1 y TLS 1.0 en los servicios de Azure no afecta a las aplicaciones que se ejecutan en Azure App Service, Azure Functions ni Azure Logic Apps (Estándar). Las aplicaciones de App Service, Azure Functions o Logic Apps (estándar) configuradas para aceptar TLS 1.1 o TLS 1.0 para las solicitudes entrantes siguen sin verse afectadas.

Seguridad de la capa de transporte (TLS) es un protocolo de seguridad ampliamente adoptado diseñado para proteger las conexiones y las comunicaciones entre servidores y clientes. En Azure App Service, puede usar certificados TLS y Secure Sockets Layer (SSL) para ayudar a proteger solicitudes entrantes en aplicaciones web.

App Service admite TLS para garantizar lo siguiente:

  • Cifrado de datos en tránsito.
  • Autenticación de aplicaciones web mediante certificados de confianza.
  • Integridad para evitar la manipulación de datos durante la transmisión.

Sugerencia

También puede preguntar a Azure Copilot, un asistente con tecnología de inteligencia artificial en el portal de Azure, estas preguntas:

  • ¿Qué versiones de TLS se admiten en App Service?
  • ¿Cuáles son las ventajas de usar TLS 1.3 en lugar de versiones anteriores?
  • ¿Cómo puedo cambiar el orden del conjunto de cifrado de mi App Service Environment?

En el encabezado de página de Azure Portal, seleccione Copilot.

Compatibilidad con la versión de TLS

Azure App Service admite las siguientes versiones tls para las solicitudes entrantes a la aplicación web:

  • TLS 1.3: la versión más reciente y segura ahora es totalmente compatible.
  • TLS 1.2: la versión de TLS mínima predeterminada para las nuevas aplicaciones web.
  • TLS 1.1 y TLS 1.0: versiones compatibles con versiones anteriores, pero no recomendadas.

Puede configurar la versión mínima de TLS para las solicitudes entrantes a la aplicación web y su sitio del Administrador de control de código fuente (SCM). De forma predeterminada, el mínimo se establece en TLS 1.2.

Puede usar Azure Policy para ayudar a auditar los recursos y la versión mínima de TLS. Vaya a las aplicaciones de App Service deben usar la definición de la política de la versión TLS más reciente y cambie los valores a la versión mínima de TLS que prefiera para sus aplicaciones web. Para obtener definiciones de directivas relacionadas para otros recursos de App Service, consulte Lista de definiciones de directivas integradas: Azure Policy para App Service.

TLS 1.3

TLS 1.3 es totalmente compatible con App Service y presenta varias mejoras en TLS 1.2:

  • Mayor seguridad, con conjuntos de cifrado simplificados y confidencialidad hacia delante.
  • Protocolos de enlace más rápidos para reducir la latencia.
  • Mensajes de protocolo de enlace cifrados para mejorar la privacidad.

Para requerir TLS 1.3 para todas las solicitudes entrantes, establezca Versión mínima de TLS entrante en TLS 1.3 en Azure Portal, la CLI de Azure o la plantilla de Azure Resource Manager (plantilla de ARM).

TLS 1.3 admite los siguientes conjuntos de cifrado, que son fijos y no se pueden personalizar:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

Estos conjuntos proporcionan cifrado seguro y se usan automáticamente cuando se negocia TLS 1.3.

TLS 1.2

TLS 1.2 es la versión predeterminada de TLS para App Service. Proporciona un cifrado seguro y una amplia compatibilidad, al tiempo que cumple los estándares de cumplimiento, como el estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS). De forma predeterminada, las nuevas aplicaciones web y los puntos de conexión SCM usan TLS 1.2 a menos que los cambie.

Azure App Service usa un conjunto seguro de conjuntos de cifrado TLS 1.2 para ayudar a garantizar conexiones cifradas y a protegerse frente a vulnerabilidades conocidas. Aunque puede habilitar TLS 1.1 y TLS 1.0 para la compatibilidad con versiones anteriores, se recomienda usar una versión mínima de TLS 1.2.

TLS 1.1 y TLS 1.0

TLS 1.1 y TLS 1.0 se consideran protocolos heredados y ya no se consideran seguros. Estas versiones se admiten en App Service únicamente por compatibilidad con versiones anteriores y deben evitarse siempre que sea posible. La versión mínima predeterminada de TLS para las nuevas aplicaciones es TLS 1.2 y se recomienda migrar aplicaciones que usan TLS 1.1 o TLS 1.0.

Importante

Las solicitudes entrantes a las aplicaciones web y las solicitudes entrantes a Azure se controlan de forma diferente. App Service sigue admitiendo TLS 1.1 y TLS 1.0 para las solicitudes entrantes a las aplicaciones web.

En el caso de las solicitudes entrantes realizadas directamente en el plano de control de Azure, por ejemplo, a través de azure Resource Manager o llamadas API, se recomienda no usar TLS 1.1 ni TLS 1.0.

Conjunto mínimo de cifrado TLS

Nota:

La configuración Conjunto mínimo de cifrado TLS se admite en las SKU básicas o posteriores en App Service multiinquilino.

El conjunto de cifrado TLS mínimo incluye una lista fija de conjuntos de cifrado con un orden de prioridad óptimo que no se puede cambiar. No se recomienda reordenar ni repriorizar los conjuntos de cifrado porque podría exponer las aplicaciones web a un cifrado más débil. Tampoco puede agregar nuevos o diferentes conjuntos de cifrado a esta lista. Al seleccionar un conjunto de cifrado mínimo, el sistema deshabilita automáticamente todos los conjuntos de cifrado menos seguros para la aplicación web. No se pueden deshabilitar de forma selectiva solo algunos conjuntos de cifrado más débiles.

¿Qué son los conjuntos de cifrado y cómo funcionan en App Service?

Un conjunto de cifrado es un conjunto de instrucciones que contiene algoritmos y protocolos para ayudar a proteger las conexiones de red entre clientes y servidores. De forma predeterminada, el sistema operativo front-end elige el conjunto de cifrado más seguro que tanto App Service como el cliente admiten. Sin embargo, si el cliente solo admite conjuntos de cifrado débiles, el sistema operativo front-end acabaría eligiendo un conjunto de cifrado débil. Si su organización tiene restricciones en lo que se permiten los conjuntos de cifrado, puede actualizar la propiedad mínima del conjunto de cifrado TLS de la aplicación web para asegurarse de que los conjuntos de cifrado débiles están deshabilitados para la aplicación web.

App Service Environment con la configuración del clúster FrontEndSSLCipherSuiteOrder

Para entornos de App Service que tienen configurada la configuración del FrontEndSSLCipherSuiteOrder clúster, actualice la configuración para incluir los dos conjuntos de cifrado TLS 1.3:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

Después de actualizar la configuración del clúster, debe reiniciar el front-end para que los cambios surtan efecto. Además, debe incluir los dos conjuntos de cifrado necesarios descritos anteriormente, incluso cuando se actualiza para admitir TLS 1.3. Si ya usa FrontEndSSLCipherSuiteOrder, se recomienda no habilitar también el conjunto de cifrado TLS mínimo para la aplicación web. El resultado podrían ser configuraciones en conflicto. Configure solo una de estas opciones para administrar las preferencias del conjunto de cifrado.

Cifrado TLS de un extremo a otro

El cifrado TLS de extremo a extremo (E2E) garantiza que la comunicación de front-end a trabajador dentro de Azure App Service se cifre mediante TLS. Sin esta característica, mientras que las solicitudes HTTPS entrantes se cifran en los servidores frontend, el tráfico de frontend a los trabajadores que ejecutan las cargas de trabajo de la aplicación viajaría sin cifrar dentro de la infraestructura de Azure.

E2E TLS ayuda a garantizar el cifrado completo del tráfico entre:

  • Clientes y frontend de App Service
  • Servidores front-end de App Service y procesos de trabajo que hospedan la aplicación

Esta característica está disponible en:

  • Planes premium de App Service (recomendados para nuevas implementaciones)
  • Planes de App Service estándar heredados (usuarios existentes)

Importante

Los planes Premium se recomiendan para las nuevas implementaciones que requieren cifrado E2E y otras características de seguridad avanzadas.

Habilitación del cifrado TLS de un extremo a otro

Puede habilitar el cifrado TLS de E2E a través de:

  • Configuración de Azure Portal
  • Comandos de la CLI de Azure
  • Plantillas de ARM para la automatización

Después de habilitar el cifrado TLS E2E, todas las comunicaciones dentro del clúster de la aplicación web se cifran mediante TLS, lo que garantiza la protección de datos de un extremo a otro.

Certificados TLS/SSL en App Service

Para atender el tráfico HTTPS, App Service requiere un certificado TLS/SSL enlazado al dominio personalizado. App Service ofrece varias opciones de certificado, que van desde certificados gratuitos totalmente administrados hasta certificados administrados por el cliente.

Tipos de certificados

  • Certificados administrados de App Service (gratis)

    • Proporcionado sin costo alguno.
    • Totalmente administrado por Azure App Service, incluida la renovación automática.
    • Los clientes no pueden acceder, exportar ni usar estos certificados fuera de App Service.
    • No admite caracteres comodín ni CA raíz personalizadas.
  • Certificados de App Service (ASC)

    • Certificados de pago emitidos por GoDaddy.
    • El cliente posee y administra el certificado.
    • Se almacena en Key Vault (KV) del cliente y se puede exportar y usar fuera de App Service.
  • Traiga su propio certificado (BYOC)

    • Cargue y administre sus propios certificados TLS/SSL (formato PFX).
    • Totalmente administrado por el cliente.

Cada una de estas opciones proporciona flexibilidad en función de sus necesidades de seguridad y administración.

Enlace de certificados a dominios personalizados

Después de cargar o crear un certificado, lo enlaza a un dominio personalizado en la aplicación web mediante:

  • Enlaces SSL de SNI (indicación de nombre de servidor) para hospedaje multiinquilino
  • Enlaces SSL de IP para direcciones IP dedicadas

Nota:

Los dominios administrados por Azure (como *.azurewebsites.net) se protegen automáticamente con certificados predeterminados, por lo que no se requiere ninguna configuración adicional.

Autenticación Mutua TLS (mTLS)

Azure App Service admite TLS mutua (mTLS) en los planes de Linux y Windows App Service, por lo que las aplicaciones pueden requerir certificados de cliente para mayor seguridad.

Funcionamiento de mTLS

  • Los clientes presentan certificados que se validan frente a una cadena de autoridades de certificación (CA) de confianza que usted configure.
  • Solo los clientes que tienen certificados válidos pueden conectarse.
  • Normalmente se usa para proteger las API y las aplicaciones internas.

Opciones de configuración

  • Habilite mTLS mediante Azure Portal, la CLI de Azure o las plantillas de ARM.
  • Cargue certificados de CA de confianza para la validación del cliente.
  • Acceda a la información del certificado del cliente en el código de la aplicación a través de los encabezados de la solicitud.

Administración automática de certificados

Azure App Service proporciona características integradas para administrar certificados automáticamente:

  • Certificados administrados (gratis) de App Service. Emitido y renovado automáticamente para dominios personalizados. Estos certificados están limitados a la validación básica de dominio y no admiten certificados comodín ni exportables.

  • Certificados de App Service (de pago). Certificados totalmente administrados que admiten escenarios avanzados, incluidos dominios comodín y certificados exportables. Estos certificados se almacenan y administran en Azure Key Vault.

Azure App Service facilita la protección de las aplicaciones web mediante TLS y SSL. Con compatibilidad con versiones modernas de TLS, opciones de certificado flexibles y características avanzadas como TLS mutua, App Service le ayuda a proteger los datos en tránsito y a cumplir los requisitos de cumplimiento.