Compatibilidad con TLS 1.3

Se aplica a: SQL Server 2022 (16.x) y versiones posteriores De Azure SQL DatabaseAzureSQL Managed InstanceSQL Database en Microsoft Fabric

SQL Server (a partir de SQL Server 2022 (16.x),Azure SQL Database y Azure SQL Managed Instance admiten la seguridad de la capa de transporte (TLS) 1.3 cuando se usa el flujo de datos tabular (TDS) 8.0.

Importante

Incluso con la compatibilidad de TLS 1.3 con las conexiones TDS, todavía se requiere TLS 1.2 para iniciar los servicios satélite de SQL Server. No deshabilite TLS 1.2 en la máquina.

SQL Server 2019 (15.x) y versiones anteriores no admiten TLS 1.3.

Diferencias entre TLS 1.2 y TLS 1.3

TLS 1.3 reduce el número de recorridos de ida y vuelta de dos a uno durante la fase de protocolo de enlace, lo que hace que sea más rápido y seguro que TLS 1.2. El paquete Server-Hello que contiene el certificado del servidor se cifra, y la reanudación 1-RTT se interrumpe y se reemplaza por una reanudación 0-RTT basada en el recurso compartido de clave del cliente. La seguridad extra de TLS 1.3 procede de interrumpir algunos cifrados y algoritmos.

Esta es una lista de los algoritmos y cifrados que se han quitado en TLS 1.3:

• Cifrado de flujo RC4
• Intercambio de claves RSA
• Función hash SHA-1
• Cifrados de modo (bloque) CBC
• Algoritmo MD5
• Varios grupos de Diffie-Hellman no efímeros
• Cifrados de intensidad EXPORT
• DES
• 3DES

Compatibilidad con controladores

Revise la matriz de compatibilidad de características del driver para determinar qué drivers admiten actualmente TLS 1.3.

Compatibilidad con sistema operativo

Actualmente, los siguientes sistemas operativos admiten TLS 1.3:

• Windows 11
• Windows Server 2022

Compatibilidad con SQL Server 2025

SQL Server 2025 (17.x) presenta compatibilidad con TLS 1.3 para las siguientes características:

• Agente SQL Server
• Grupos de disponibilidad AlwaysOn
• Instancias de clúster de conmutación por error AlwaysOn (FCI)
• Servidores vinculados
• Replicación transaccional
• Replicación de mezcla
• Replicación de instantáneas
• Envío de registros
• Correo electrónico de base de datos

Limitaciones de configuración

Se produce un error en el programa de instalación de SQL Server 2025 cuando TLS 1.3 es la única versión de TLS habilitada en el sistema operativo. El proceso de instalación requiere que TLS 1.2 esté disponible durante la instalación. Una vez completada la instalación, TLS 1.2 se puede deshabilitar si lo desea.

El mensaje de error durante la instalación es: A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - No process is on the other end of the pipe.)

Requisitos de certificados

Al usar TDS 8.0 con SQL Server 2025, se deben cumplir requisitos de certificado específicos:

• Certificados de confianza: una entidad de certificación (CA) de confianza debe emitir certificados. Los certificados autofirmados ya no se aceptan de forma predeterminada con Microsoft OLE DB Driver for SQL Server versión 19.
• Validación de certificados: TrustServerCertificate debe establecerse en False o No. Microsoft OLE DB Driver for SQL Server versión 19 valida la cadena de confianza del certificado y no se puede omitir la validación de certificados.
• Requisitos de Nombre Alternativo del Sujeto (SAN): los certificados deben incluir el nombre de dominio completo (FQDN) y el nombre NetBIOS en la lista SAN. SQL Server Management Studio (SSMS) suele usar nombres NetBIOS al conectarse y las entradas que faltan provocarán errores de validación.
• Planificación de entradas SAN: Incluya todos los nombres de conexión de clientes posibles (FQDN, nombres NetBIOS, alias de servicio) durante la emisión del certificado. Agregar nombres más adelante requiere crear un nuevo certificado y reiniciar la instancia de SQL Server.

Para obtener más información sobre la validación de certificados, vea Cifrado y validación de certificados: controlador OLE DB para SQL Server.

Configuraciones seguras de forma predeterminada en SQL Server 2025

SQL Server 2025 presenta configuraciones seguras de forma predeterminada para varias características que ahora usan TDS 8.0 con cifrado habilitado de forma predeterminada:

• Agente SQL Server: usa Microsoft OLE DB Driver for SQL Server versión 19 con Encrypt=Mandatory y requiere certificados de servidor válidos con TrustServerCertificate=False. Cuando la única versión de TLS habilitada es TLS 1.3, debe configurar Encrypt=Strict (Forzar cifrado estricto).

• Grupos de disponibilidad Always On y FCI: Usa el controlador ODBC para SQL Server versión 18 con Encrypt=Mandatory de forma predeterminada. A diferencia de otras características, los grupos de disponibilidad Always On y las FCI permiten TrustServerCertificate=True para escenarios autofirmados.

• Servidores vinculados: usa Microsoft OLE DB Driver for SQL Server versión 19 con Encrypt=Mandatory de forma predeterminada. El parámetro de cifrado debe especificarse en la cadena de conexión al dirigirse a otra instancia de SQL Server.

• Trasvase de registros: usa Microsoft OLE DB Driver for SQL Server versión 19 con Encrypt=Mandatory y requiere certificados de servidor válidos. Al realizar una actualización local desde una versión inferior, que no admite las configuraciones de seguridad más recientes, si la configuración de cifrado no se invalida explícitamente con una opción más segura, el trasvase de registros usará TrustServerCertificate=True para permitir la compatibilidad con versiones anteriores. Para aplicar TLS 1.3 y Encrypt=Strict con TDS 8.0 tras la actualización, elimine y recree la topología con los parámetros actualizados en los procedimientos almacenados de trasvase de registros.

• Replicación: (Transaccional, Instantánea, Combinación) usa el controlador OLE DB de Microsoft para SQL Server versión 19 con Encrypt=Mandatory y requiere certificados válidos con TrustServerCertificate=False.

• Correo electrónico de base de datos: la configuración predeterminada es Encrypt=Optional y TrustServerCertificate=True. Cuando se aplica TLS 1.3, estos valores cambian a Encrypt=Strict y TrustServerCertificate=False. De forma predeterminada, Azure SQL Managed Instance usa el protocolo TLS 1.3.

• PolyBase: utiliza el controlador ODBC para SQL Server versión 18 con Encrypt=Yes (Mandatory). PolyBase admite TrustServerCertificate=True para escenarios autofirmados.

• Escritor de VSS de SQL: al conectarse a una instancia de SQL Server 2025 con Encryption=Strict, VSS Writer de SQL usará TLS 1.3 y TDS 8.0 para la parte que no es de la interfaz de dispositivo virtual (VDI) de esa conexión.

Requisitos específicos del componente

• Agente SQL Server con TLS 1.3: debe usar Force Strict Encryption (TDS 8.0) cuando TLS 1.3 es la única versión habilitada. La configuración de cifrado inferior (Mandatory o Optional) produce errores de conexión.

• Trabajos de T-SQL del Agente SQL Server: los trabajos de T-SQL del Agente SQL Server que se conectan a la instancia local heredan la configuración de cifrado del Agente SQL Server.

• Módulos de PowerShell: SQLPS.exe y el módulo sqlPS de PowerShell no se admiten actualmente para TDS 8.0.

• Grupos de disponibilidad Always On y FCI: para configurar cifrado estricto con TDS 8.0, use la CLUSTER_CONNECTION_OPTIONS cláusula con Encrypt=Strict y conmutación por error para aplicar la configuración.

Contenido relacionado

• TDS 8.0
• Conexión a SQL Server mediante cifrado strict
• Configuración de TLS 1.3