Introducción sobre TLS en Azure App Service
Nota:
Los clientes pueden tener en cuenta la notificación de retirada de TLS 1.0 y 1.1 para las interacciones con los servicios de Azure. Esta retirada no afecta a las aplicaciones que se ejecutan en App Service o Azure Functions. Las aplicaciones en App Service o Azure Functions configuradas para aceptar TLS 1.0 o TLS 1.1 para solicitudes entrantes seguirán ejecutándose sin verse afectadas.
¿Qué hace TLS en App Service?
La seguridad de la capa de transporte (TLS) es un protocolo de seguridad ampliamente adoptado diseñado para proteger las conexiones y comunicaciones entre servidores y clientes. App Service permite a los clientes usar certificados TLS/SSL para proteger las solicitudes entrantes en sus aplicaciones web. App Service admite actualmente diferentes conjuntos de características de TLS para que los clientes protejan sus aplicaciones web.
Sugerencia
También puede hacerle estas preguntas a Azure Copilot:
- ¿Qué versiones de TLS se admiten en App Service?
- ¿Cuáles son las ventajas de usar TLS 1.3 sobre versiones anteriores?
- ¿Cómo puedo cambiar el orden del conjunto de cifrado de mi App Service Environment?
Para buscar Azure Copilot, en la barra de herramientas de Azure Portal, seleccione Copilot.
¿Se admite la versión de TLS en App Service?
Para las solicitudes entrantes a la aplicación web, App Service admite las versiones 1.0, 1.1, 1.2 y 1.3 de TLS.
Establecimiento de la versión mínima de TLS
Siga estos pasos para cambiar la versión mínima de TLS del recurso de App Service:
- Busque su aplicación en Azure Portal.
- En el menú de la izquierda, seleccione Configuración y, luego, elija la pestaña Configuración general.
- En la versión mínima de TLS de entrada, en la lista desplegable, seleccione la versión deseada.
- Seleccione Guardar para guardar los cambios.
Versión mínima de TLS con Azure Policy
Puede usar Azure Policy para ayudar a auditar los recursos en lo que respecta a la versión mínima de TLS. Puede consultar Las aplicaciones de App Service deben usar la definición de directiva de versión de TLS más reciente y cambiar los valores a la versión mínima de TLS deseada. Para obtener definiciones de directiva similares para otros recursos de App Service, consulte Lista de definiciones de directivas integradas: Azure Policy para App Service.
Versión de TLS mínima y versión de TLS mínima para SCM
App Service también permite establecer la versión mínima de TLS para las solicitudes entrantes en la aplicación web y en el sitio de SCM. De forma predeterminada, la versión mínima de TLS para las solicitudes entrantes en la aplicación web y en SCM se establece en 1.2 tanto en el portal como en la API.
TLS 1.3
Hay disponible una opción Conjunto mínimo de cifrado TLS con TLS 1.3. Esto incluye dos conjuntos de cifrado en la parte superior del orden del conjunto de cifrado:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
TLS 1.0 y 1.1
TLS 1.0 y 1.1 se consideran protocolos heredados y ya no se consideran versiones seguras. Por lo general, se recomienda que los clientes usen TLS 1.2 o superior como versión mínima de TLS. Al crear una aplicación web, la versión de TLS mínima predeterminada es TLS 1.2.
Para garantizar la compatibilidad de TLS 1.0 y TLS 1.1 con versiones anteriores, App Service seguirá admitiendo TLS 1.0 y 1.1 para las solicitudes entrantes en la aplicación web. Sin embargo, dado que la versión mínima predeterminada de TLS se establece en TLS 1.2, debe actualizar la configuración de la versión mínima de TLS en la aplicación web a TLS 1.0 o 1.1 para que las solicitudes no se rechacen.
Importante
Las solicitudes entrantes en las aplicaciones web y las solicitudes entrantes en Azure se tratan de forma diferente. App Service seguirá admitiendo TLS 1.0 y 1.1 para las solicitudes entrantes en las aplicaciones web. En el caso de las solicitudes entrantes directamente al plano de control de Azure, por ejemplo, a través de llamadas de ARM o API, no se recomienda usar TLS 1.0 o 1.1.
Conjunto mínimo de cifrado TLS
Nota:
El conjunto mínimo de cifrado TLS se admite en las SKU Básicas y superiores en App Service multiinquilino.
El conjunto mínimo de cifrado TLS incluye una lista fija de conjuntos de cifrado con un orden de prioridad óptimo que no se puede cambiar. No se recomienda reordenar o modificar los conjuntos de cifrado, ya que podría exponer las aplicaciones web a un cifrado más débil. Tampoco puede agregar conjuntos de cifrado nuevos o diferentes a esta lista. Al seleccionar un conjunto mínimo de cifrado, el sistema deshabilita de forma automática todos los conjuntos de cifrado menos seguros para la aplicación web, sin permitir deshabilitar de forma selectiva solo algunos conjuntos de cifrado más débiles.
¿Qué son los conjuntos de cifrado y cómo funcionan en App Service?
Un conjunto de cifrado es un conjunto de instrucciones que contiene algoritmos y protocolos para ayudar a proteger las conexiones de red entre clientes y servidores. De forma predeterminada, el sistema operativo del front-end selecciona el conjunto de cifrado más seguro que es compatible con App Service y el cliente. Sin embargo, si el cliente solo admite conjuntos de cifrado débiles, el sistema operativo del front-end acaba seleccionando un conjunto de cifrado débil compatible con ambos. Si su organización tiene restricciones sobre los conjuntos de cifrado que no se deben permitir, puede actualizar la propiedad mínima del conjunto de cifrado TLS de la aplicación web para asegurarse de que los conjuntos de cifrado débiles se deshabilitarán para su aplicación web.
App Service Environment (ASE) V3 con opción de clúster FrontEndSSLCipherSuiteOrder
Para los App Service Environment con opción de clúster FrontEndSSLCipherSuiteOrder
, debe actualizar la configuración para incluir dos conjuntos de cifrado TLS 1.3 (TLS_AES_256_GCM_SHA384 y TLS_AES_128_GCM_SHA256). Una vez la haya actualizado, reinicie el front-end para que el cambio se aplique. Todavía debe incluir los dos conjuntos de cifrado que son necesarios, como se mencionó en la documentación.
Cifrado TLS de un extremo a otro
El cifrado TLS de un extremo a otro (E2E) está disponible en los planes Prémium de App Service (así como en los planes Estándar de App Service heredados). Ahora se puede cifrar el tráfico de front-end dentro del clúster entre el front-end de App Service y los procesos de trabajo que ejecutan cargas de trabajo de la aplicación.