Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Cambios en la jubilación
Azure ha anunciado que la compatibilidad con versiones anteriores de TLS (TLS 1.0 y 1.1) finaliza el 31 de agosto de 2025. Para obtener más información, vea Desuso de TLS 1.0 y 1.1. A partir de noviembre de 2024, ya no podrá establecer la versión mínima de TLS para las conexiones de cliente de Azure SQL Managed Instance por debajo de TLS 1.2.
La configuración de versión mínima de Seguridad de la capa de transporte (TLS) permite a los clientes controlar la versión de TLS usada por su instancia administrada de Azure SQL.
La configuración de la versión mínima de TLS en la versión 1.2 se aplica actualmente para SQL Managed Instance. Establecer una versión mínima de TLS garantiza que se admiten las versiones posteriores y más recientes de TLS. Solo se aceptan las conexiones que usan TLS 1.2 o superior.
Para obtener más información, consulte Consideraciones de TLS para la conectividad de SQL Database.
Después de establecer la versión mínima de TLS, los intentos de inicio de sesión de los clientes que usan una versión tls inferior a la versión mínima de TLS del servidor producirán el siguiente error:
Error 47072
Login failed with invalid TLS version
Nota:
- Al configurar una versión mínima de TLS, esa versión mínima se aplica en el nivel de aplicación. Las herramientas que intentan determinar la compatibilidad con TLS en la capa de protocolo podrían devolver versiones de TLS, además de la versión mínima necesaria, cuando se ejecutan directamente contra el punto de conexión de la instancia administrada.
- TLS 1.0 y 1.1 se retiran y ya no están disponibles.
Establecimiento de una versión mínima de TLS mediante PowerShell
Nota:
En este artículo se utiliza el módulo Azure Az PowerShell, que es el módulo de PowerShell recomendado para interactuar con Azure. Para empezar a trabajar con el módulo Az PowerShell, consulte Instalación de Azure PowerShell. Para obtener información sobre cómo migrar al módulo Az PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Importante
El módulo de Azure Resource Manager (AzureRM) de PowerShell ha quedado en desuso el 29 de febrero de 2024. Todo el desarrollo futuro debe usar el módulo Az.Sql. Se recomienda a los usuarios migrar de AzureRM al módulo Az PowerShell para seguir recibiendo soporte técnico y actualizaciones. El módulo AzureRM ya no cuenta con mantenimiento ni soporte. Los argumentos de los comandos del módulo Az PowerShell y en los módulos AzureRM son sustancialmente idénticos. Para obtener más información sobre su compatibilidad, consulte Introducción al nuevo módulo de Az PowerShell.
El script siguiente requiere el módulo de Azure PowerShell.
El siguiente script de PowerShell muestra cómo Get y Set la propiedad Versión mínima de TLS en el nivel de instancia:
#Get the Minimal TLS Version property
(Get-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group).MinimalTlsVersion
# Update Minimal TLS Version Property
Set-AzSqlInstance -Name sql-instance-name -ResourceGroupName resource-group -MinimalTlsVersion "1.2"
Establecimiento de una versión mínima de TLS mediante la CLI de Azure
Importante
Todos los scripts de esta sección requieren la CLI de Azure.
CLI de Azure en un shell de Bash
El siguiente script de la CLI muestra cómo cambiar la configuración versión mínima de TLS en un shell de Bash:
# Get current setting for Minimal TLS Version
az sql mi show -n sql-instance-name -g resource-group --query "minimalTlsVersion"
# Update setting for Minimal TLS Version
az sql mi update -n sql-instance-name -g resource-group --set minimalTlsVersion="1.2"
Preguntas más frecuentes sobre los próximos cambios de retirada de TLS 1.0 y 1.1
Azure ha anunciado que la compatibilidad con versiones anteriores de TLS (TLS 1.0 y 1.1) finaliza el 31 de agosto de 2025. Para obtener más información, vea Desuso de TLS 1.0 y 1.1.
A partir de noviembre de 2024, ya no podrá establecer la versión mínima de TLS para las conexiones de cliente de Azure SQL Database e Instancia administrada de Azure SQL por debajo de TLS 1.2.
¿Por qué se va a retirar TLS 1.0 y 1.1?
Las versiones 1.0 y 1.1 de TLS están obsoletas y ya no cumplen los estándares de seguridad modernos. Se retiran a:
- Reduzca la exposición a vulnerabilidades conocidas.
- Alinee con los procedimientos recomendados del sector y los requisitos de cumplimiento.
- Asegúrese de que los clientes usan protocolos de cifrado más seguros como TLS 1.2 o TLS 1.3.
¿Qué ocurre si TLS 1.0 y 1.1 se usan después del 31 de agosto de 2025?
Después del 31 de agosto de 2025, ya no se admitirá TLS 1.0 y 1.1, y es probable que se produzca un error en las conexiones que usan TLS 1.0 y 1.1. Es fundamental realizar la transición a un mínimo de TLS 1.2 o superior antes de la fecha límite.
¿Cómo puedo comprobar si mis instancias de SQL Database, INSTANCIA administrada de SQL, Cosmos DB o MySQL usan TLS 1.0/1.1?
Para identificar los clientes que se conectan a azure SQL Database mediante TLS 1.0 y 1.1, se deben habilitar los registros de auditoría de SQL . Con la auditoría habilitada, puede ver las conexiones de cliente.
Para identificar los clientes que se conectan a la instancia administrada de Azure SQL mediante TLS 1.0 y 1.1, la auditoría debe estar habilitada. Con la auditoría habilitada, puede consumir registros de auditoría con Azure Storage, Event Hubs o registros de Azure Monitor para ver las conexiones de cliente.
Para comprobar la versión mínima de TLS de Azure Cosmos DB, obtenga el valor actual de la propiedad mediante la
minimalTlsVersionCLI de Azure o Azure PowerShell.Para comprobar la versión mínima de TLS configurada para el servidor de Azure Database for MySQL, compruebe el valor del
tls_versionparámetro de servidor mediante la interfaz de línea de comandos de MySQL para comprender qué protocolos están configurados.
¿Por qué mi servicio se marcó si ya he configurado TLS 1.2?
Es posible que los servicios se marquen incorrectamente debido a:
- Reserva intermitente a versiones anteriores de TLS por parte de clientes heredados.
- Bibliotecas de cliente o cadenas de conexión mal configuradas que no aplican TLS 1.2.
- Retraso de telemetría o falsos positivos en la lógica de detección.
¿Qué debo hacer si recibí un aviso de retirada en caso de error?
Si el servidor o la base de datos ya está configurado con TLS 1.2 mínimo o configurado sin TLS mínimo (la configuración predeterminada en SQL Database e Instancia minimalTLSVersion administrada de SQL que se asigna a 0) y que se conecta con la versión 1.2, no se requiere ninguna acción.
¿Qué ocurre si mi aplicación o biblioteca cliente no admite TLS 1.2?
Las conexiones producirán un error una vez que TLS 1.0/1.1 estén deshabilitados. Debe actualizar las bibliotecas, controladores o marcos de cliente a versiones compatibles con TLS 1.2.
¿Qué ocurre si mi servidor está configurado sin una versión mínima de TLS?
Los servidores configurados sin versión mínima de TLS y la conexión con TLS 1.0/1.1 deben actualizarse a la versión mínima de TLS 1.2. En el caso de los servidores configurados sin una versión mínima de TLS y la conexión con la versión 1.2, no se requiere ninguna acción. En el caso de los servidores configurados sin una versión mínima de TLS y con conexiones cifradas, no se requiere ninguna acción.
¿Cómo se me notificará sobre la retirada de TLS para mis recursos?
Los avisos de correo electrónico seguirán dando lugar a la retirada de TLS 1.0 y 1.1 en agosto.
¿Quién puedo ponerse en contacto si necesito ayuda para validar o actualizar la configuración de TLS?
Si necesita ayuda para validar o actualizar la configuración de TLS, póngase en contacto con Microsoft Q&A o abra una incidencia de soporte técnico mediante Azure Portal si tiene un plan de soporte técnico.