Deshabilitación de TLS 1.0 y 1.1 para Microsoft 365
Importante
Ya hemos deshabilitado TLS 1.0 y 1.1 para la mayoría de los servicios de Microsoft 365 en el entorno mundial. Para Microsoft 365 operado por 21 Vianet, TLS 1.0/1.1 se deshabilitó el 30 de junio de 2023.
A partir del 31 de octubre de 2018, los protocolos seguridad de la capa de transporte (TLS) 1.0 y 1.1 están en desuso para el servicio Microsoft 365. El efecto para los usuarios finales es mínimo. Este cambio se ha hecho público durante más de dos años, con el primer anuncio público realizado en diciembre de 2017. Este artículo solo está pensado para cubrir la Office 365 cliente local en relación con el servicio Office 365, pero también puede aplicarse a problemas de TLS locales con Office y Office Online Server/Office Web Apps.
Para SharePoint y OneDrive, deberá actualizar y configurar .NET para admitir TLS 1.2. Para obtener información, vea How to enable TLS 1.2 on clients (Cómo habilitar TLS 1.2 en clientes).
Sugerencia
Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.
introducción a Office 365 y TLS
El cliente de Office se basa en el servicio web de Windows (WINHTTP) para enviar y recibir tráfico a través de protocolos TLS. El cliente de Office puede usar TLS 1.2 si el servicio web del equipo local puede usar TLS 1.2. Todos los clientes de Office pueden usar protocolos TLS, ya que los protocolos TLS y SSL forman parte del sistema operativo y no son específicos del cliente de Office.
En Windows 8 y versiones posteriores
De forma predeterminada, los protocolos TLS 1.2 y 1.1 están disponibles si no hay ningún dispositivo de red configurado para rechazar el tráfico TLS 1.2.
En Windows 7
Los protocolos TLS 1.1 y 1.2 no están disponibles sin la actualización de kb 3140245 . La actualización soluciona este problema y agrega la siguiente subclase del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Nota:
Los usuarios de Windows 7 que no tienen esta actualización se ven afectados a partir del 31 de octubre de 2018. KB 3140245 tiene detalles sobre cómo cambiar la configuración de WINHTTP para habilitar los protocolos TLS.
Más información
El valor de la clave del Registro DefaultSecureProtocols que describe el artículo de KB determina qué protocolos de red se pueden usar:
| Valor DefaultSecureProtocols | Protocolo habilitado |
|---|---|
| 0x00000008 | Habilita SSL 2.0 de manera predeterminada |
| 0x00000020 | Habilita SSL 3.0 de manera predeterminada |
| 0x00000080 | Habilita TLS 1.0 de manera predeterminada |
| 0x00000200 | Habilita TLS 1.1 de manera predeterminada |
| 0x00000800 | Habilita TLS 1.2 de manera predeterminada |
| 0x00002000 | Habilitar TLS 1.3 de forma predeterminada |
Clientes de Office y claves del Registro TLS
Puede consultar KB 4057306 Preparar el uso obligatorio de TLS 1.2 en Office 365. Este es un artículo general para los administradores de TI y es documentación oficial sobre el cambio de TLS 1.2.
En la tabla siguiente se muestran los valores de clave del Registro adecuados en Office 365 clientes después del 31 de octubre de 2018.
| Protocolos habilitados para Office 365 servicio después del 31 de octubre de 2018 | Valor hexadecimal |
|---|---|
| TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
| TLS 1.1 + 1.2 | 0x00000A00 |
| TLS 1.0 + 1.2 | 0x00000880 |
| TLS 1.2 | 0x00000800 |
Importante
No use los protocolos SSL 2.0 y 3.0, que también se pueden establecer mediante la clave DefaultSecureProtocols . SSL 2.0 y 3.0 se consideran protocolos obsoletos e inseguros. El procedimiento recomendado es poner fin al uso de SSL 2.0 y SSL 3.0, aunque la decisión de hacerlo depende en última instancia de lo que mejor se adapte a las necesidades del producto. Para obtener más información sobre las vulnerabilidades de SSL 3.0, consulte KB 3009008.
Puede usar la calculadora de Windows predeterminada en modo programador para configurar los mismos valores de clave del Registro de referencia. Para obtener más información, vea KB 3140245 Update para habilitar TLS 1.1 y TLS 1.2 como protocolos seguros predeterminados en WinHTTP en Windows.
Independientemente de si la actualización de Windows 7 (KB 3140245) está instalada o no, la subclase del Registro DefaultSecureProtocols no está presente y debe agregarse manualmente o a través de un objeto de directiva de grupo (GPO). Es decir, a menos que tenga que personalizar qué protocolos seguros están habilitados o restringidos, esta clave no es necesaria. Solo necesita la actualización de Windows 7 SP1 (KB 3140245).
Actualice y configure .NET Framework para que admita TLS 1.2
Tendrá que actualizar las aplicaciones que llaman a las API de Microsoft 365 a través de TLS 1.0 o TLS 1.1 para usar TLS 1.2. .NET 4.5 tiene como valor predeterminado TLS 1.1. Para actualizar la configuración de .NET, consulte Habilitación de seguridad de la capa de transporte (TLS) 1.2 en los clientes.
Más información
Para obtener más información, vea Preparar el uso obligatorio de TLS 1.2 en Office 365.
Referencias
Los siguientes recursos proporcionan instrucciones para asegurarse de que los clientes usan TLS 1.2 o una versión posterior y para deshabilitar TLS 1.0 y 1.1:
- Si tiene clientes de Windows 7 que se conecten a Office 365, asegúrese de que TLS 1.2 sea el protocolo seguro predeterminado en WinHTTP en Windows. Para obtener más información, vea KB 3140245 : actualización para habilitar TLS 1.1 y TLS 1.2 como protocolos seguros predeterminados en WinHTTP en Windows.
- Para abordar el uso débil de TLS quitando las dependencias de TLS 1.0 y 1.1, consulte Compatibilidad con TLS 1.2 en Microsoft.
- La nueva funcionalidad IIS facilita la búsqueda de clientes en Windows Server 2012 R2 y Windows Server 2016 que se conectan al servicio mediante el uso de protocolos de seguridad débiles.
- Obtenga más información sobre cómo resolver el problema de TLS 1.0.
- Para obtener información general sobre nuestro enfoque de la seguridad, consulte el Centro de confianza de Office 365.
- Preparación para la degradación de TLS 1.0/1.1: Office 365 Skype Empresarial
- Guía de TLS de Exchange Server, parte 1: Preparación para TLS 1.2
- Orientación TLS de Exchange Server Parte 2: Habilitación de TLS 1.2 e identificación de clientes que no lo utilicen
- Orientación TLS de Exchange Server Parte 3: Desactivar TLS 1.0/1.1
- Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Office Online Server