Transport Layer Security in Backup di Azure
Transport Layer Security (TLS) è un protocollo di crittografia che protegge i dati durante il trasferimento in rete. Backup di Azure usa la sicurezza a livello di trasporto per proteggere la privacy dei dati di backup trasferiti. Questo articolo descrive i passaggi per abilitare il protocollo TLS 1.2, che offre una maggiore sicurezza rispetto alle versioni precedenti.
Versioni precedenti di Windows
Se il computer esegue versioni precedenti di Windows, è necessario installare gli aggiornamenti corrispondenti indicati di seguito e le modifiche del Registro di sistema documentate negli articoli della Knowledge Base devono essere applicate.
| Sistema operativo | articolo KB |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Nota
L'aggiornamento installerà i componenti del protocollo necessari. Dopo l'installazione, è necessario apportare le modifiche della chiave del Registro di sistema indicate negli articoli della Knowledge Base precedenti per abilitare correttamente i protocolli necessari.
Verificare il Registro di sistema di Windows
Configurazione dei protocolli SChannel
Le chiavi del Registro di sistema seguenti assicurano che il protocollo TLS 1.2 sia abilitato a livello di componente SChannel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Nota
I valori visualizzati sono impostati per impostazione predefinita in Windows Server 2012 R2 e versioni più recenti. Per queste versioni di Windows, se le chiavi del Registro di sistema sono assenti, non è necessario crearli.
Configurazione di .NET Framework
Le chiavi del Registro di sistema seguenti configurano .NET Framework per supportare la crittografia avanzata. Per altre informazioni sulla configurazione di .NET Framework, vedere qui.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Modifiche ai certificati TLS di Azure
Gli endpoint TLS/SSL di Azure contengono ora il concatenamento dei certificati aggiornati fino alle nuove ca radice. Assicurarsi che le modifiche seguenti includano le ca radice aggiornate. Altre informazioni sui possibili impatti sulle applicazioni.
In precedenza, la maggior parte dei certificati TLS, usati dai servizi di Azure, concatenava fino alla CA radice seguente:
| Nome comune della CA | Thumbprint (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Ora, i certificati TLS, usati dai servizi di Azure, consentono di concatenare fino a una delle ca radice seguenti:
| Nome comune della CA | Thumbprint (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Ca radice globale DgiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Domande frequenti
Perché abilitare TLS 1.2?
TLS 1.2 è più sicuro rispetto ai protocolli di crittografia precedenti, ad esempio SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Backup di Azure servizi supportano già completamente TLS 1.2.
Che cosa determina il protocollo di crittografia usato?
La versione del protocollo più recente supportata sia dal client che dal server viene negoziata per stabilire la conversazione crittografata. Per altre informazioni sul protocollo di handshake TLS, vedere Definizione di una sessione protetta tramite TLS.
Qual è l'impatto dell'non abilitazione di TLS 1.2?
Per una maggiore sicurezza dagli attacchi di downgrade del protocollo, Backup di Azure sta iniziando a disabilitare le versioni TLS precedenti alla 1.2 in modo graduale. Questo fa parte di uno spostamento a lungo termine tra i servizi per impedire le connessioni legacy del protocollo e della suite di crittografia. Backup di Azure servizi e componenti supportano completamente TLS 1.2. Tuttavia, le versioni di Windows senza aggiornamenti necessari o alcune configurazioni personalizzate possono comunque impedire l'offerta dei protocolli TLS 1.2. Ciò può causare errori, ad esempio uno o più degli elementi seguenti:
- Le operazioni di backup e ripristino potrebbero non riuscire.
- Errori di connessione dei componenti di backup con errore 10054 (una connessione esistente è stata chiusa forzatamente dall'host remoto).
- I servizi correlati alle Backup di Azure non verranno arrestati o avviati come di consueto.