Transport Layer Security in Backup di Azure

Transport Layer Security (TLS) è un protocollo di crittografia che consente di proteggere i dati durante il trasferimento in rete. Backup di Azure usa la sicurezza del livello di trasporto per proteggere la privacy dei dati di backup trasferiti. Questo articolo descrive i passaggi per abilitare il protocollo TLS 1.2, che offre una maggiore sicurezza rispetto alle versioni precedenti.

Versioni precedenti di Windows

Se il computer esegue versioni precedenti di Windows, è necessario installare gli aggiornamenti indicati di seguito e applicare le modifiche del Registro di sistema documentate negli articoli della Knowledge Base.

Sistema operativo	Articolo della Knowledge Base
Windows Server 2008 SP2	https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012	https://support.microsoft.com/help/3140245

Nota

L'aggiornamento installerà i componenti del protocollo necessari. Dopo l'installazione, è necessario apportare le modifiche della chiave del Registro di sistema indicate negli articoli della Knowledge Base precedenti per abilitare correttamente i protocolli necessari.

Verificare il Registro di sistema di Windows

Configurazione dei protocolli SChannel

Le chiavi del Registro di sistema seguenti assicurano che il protocollo TLS 1.2 sia abilitato a livello di componente SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Nota

I valori visualizzati sono configurati per impostazione predefinita in Windows Server 2012 R2 e versioni più recenti. Per queste versioni di Windows, se le chiavi del Registro di sistema sono assenti, non è necessario crearle.

Configurazione di .NET Framework

Le chiavi del Registro di sistema seguenti configurano .NET Framework per supportare la crittografia avanzata. Per altre informazioni sulla configurazione di .NET Framework, vedere qui.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Modifiche ai certificati TLS di Azure

Gli endpoint TLS/SSL di Azure contengono ora il concatenamento dei certificati aggiornati fino a nuove CA radice. Assicurarsi che le modifiche seguenti includano le CA radice aggiornate. Altre informazioni sugli effetti possibili sulle applicazioni.

In precedenza, la maggior parte dei certificati TLS usati dai servizi di Azure era concatenata alla CA radice seguente:

Nome comune della CA	Thumbprint (SHA1)
Baltimore CyberTrust Root	d4de20d05e66fc53fe1a50882c78db2852cae474

A questo punto, i certificati TLS usati dai servizi di Azure consentono di concatenare fino a una delle ca radice seguenti:

Nome comune della CA	Thumbprint (SHA1)
DigiCert Global Root G2	df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert Global Root CA	a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root	d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009	58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017	73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017	999a64c37ff47d9fab95f14769891460eec4c3c5

Domande frequenti

Perché abilitare TLS 1.2?

TLS 1.2 è più sicuro dei protocolli di crittografia precedenti, ad esempio SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. I servizi di Backup di Azure supportano già completamente TLS 1.2.

Che cosa determina il protocollo di crittografia usato?

La versione del protocollo più elevata supportata sia dal client che dal server viene negoziata per stabilire la conversazione crittografata. Per altre informazioni sul protocollo handshake TLS, vedere Definizione di una sessione sicura tramite TLS.

Qual è l'impatto della mancata abilitazione di TLS 1.2?

Per migliorare la sicurezza dagli attacchi di downgrade del protocollo, Backup di Azure sta iniziando a disabilitare le versioni TLS precedenti alla 1.2 in modo graduale. Questo fa parte di uno spostamento a lungo termine tra i servizi per impedire le connessioni legacy del protocollo e della suite di crittografia. I servizi e i componenti di Backup di Azure supportano completamente TLS 1.2. Tuttavia, le versioni di Windows senza aggiornamenti necessari o alcune configurazioni personalizzate possono comunque impedire l'offerta di protocolli TLS 1.2. Ciò può causare errori, tra cui, ad esempio, uno o più degli elementi seguenti:

• Le operazioni di backup e ripristino potrebbero non riuscire.
• Errori di connessione dei componenti di backup con errore 10054 (una connessione esistente è stata chiusa forzatamente dall'host remoto).
• I servizi correlati a Backup di Azure non verranno interrotti o avviati come di consueto.

Risorse aggiuntive

• Protocollo Transport Layer Security
• Garantire il supporto per TLS 1.2 in tutti i sistemi operativi distribuiti
• Procedure consigliate per Transport Layer Security (TLS) con .NET Framework