Seguridad de la capa de transporte en Azure Backup

Seguridad de la capa de transporte (TLS) es un protocolo de cifrado que protege los datos cuando se transfieren a través de una red. Azure Backup utiliza el protocolo Seguridad de la capa de transporte para proteger la privacidad de los datos de copia de seguridad que se transfieren. En este artículo se describen los pasos para habilitar el protocolo TLS 1.2, que proporciona seguridad mejorada con respecto a las versiones anteriores.

Versiones anteriores de Windows

Si el equipo ejecuta versiones anteriores de Windows, se deben instalar las actualizaciones correspondientes que se indican a continuación y se deben aplicar los cambios de registro documentados en los artículos de KB.

Sistema operativo	artículo de KB
Windows Server 2008 SP2	https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012	https://support.microsoft.com/help/3140245

Nota

La actualización instalará los componentes de protocolo necesarios. Después de la instalación, debe realizar los cambios en la clave del Registro mencionados en los artículos de KB anteriores para habilitar correctamente los protocolos necesarios.

Comprobación del Registro de Windows

Configuración de los protocolos de SChannel

Las siguientes claves del Registro garantizan que el protocolo TLS 1.2 está habilitado en el nivel de componente de SChannel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Nota

Los valores que se muestran se establecen de forma predeterminada en Windows Server 2012 R2 y versiones más recientes. En el caso de estas versiones de Windows, si las claves del Registro no están presentes, no es necesario crearlas.

Configuración de .NET Framework

Las claves del Registro siguientes configuran .NET Framework para que admita la criptografía segura. Puede obtener más información sobre la configuración de .NET Framework aquí.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Cambios en los certificados TLS de Azure

Los puntos de conexión de TLS/SSL de Azure ahora contienen certificados actualizados que se encadenan a las nuevas entidades de certificación raíz. Asegúrese de que los siguientes cambios incluyen las entidades de certificación raíz actualizadas. Obtenga más información sobre los posibles impactos en las aplicaciones.

Anteriormente, la mayoría de los certificados TLS usados por los servicios de Azure se encadenaban a la siguiente entidad de certificación raíz:

Nombre común de la entidad de certificación	Huella digital (SHA1)
Baltimore CyberTrust Root	d4de20d05e66fc53fe1a50882c78db2852cae474

Ahora, los certificados TLS usados por los servicios de Azure ayudan a encadenarse a una de las siguientes entidades de certificación raíz:

Nombre común de la entidad de certificación	Huella digital (SHA1)
DigiCert Global Root G2	df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DgiCert Global Root CA	a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root	d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009	58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017	73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017	999a64c37ff47d9fab95f14769891460eec4c3c5

Preguntas más frecuentes

¿Por qué habilitar TLS 1.2?

TLS 1.2 es más seguro que los protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1. Los servicios de Azure Backup ya admiten totalmente TLS 1.2.

¿Qué determina el protocolo de cifrado usado?

La versión de protocolo más alta admitida por el cliente y el servidor se negocia para establecer la conversación cifrada. Para obtener más información sobre el protocolo de enlace TLS, vea Establecimiento de una sesión segura mediante TLS.

¿Cuál es el impacto de no habilitar TLS 1.2?

Para mejorar la seguridad de los ataques por degradación del protocolo, Azure Backup está empezando a deshabilitar las versiones de TLS anteriores a 1.2 de forma escalonada. Esto forma parte de un cambio a largo plazo en los servicios para prohibir las conexiones de protocolos heredados y conjuntos de cifrado. Los servicios y los componentes de Azure Backup son totalmente compatibles con TLS 1.2. Sin embargo, las versiones de Windows que carecen de actualizaciones necesarias o de ciertas configuraciones personalizadas pueden seguir impidiendo la oferta de protocolos TLS 1.2. Esto puede causar errores, incluidos, entre otros, uno o varios de los siguientes:

• Posibles errores en las operaciones de copia de seguridad y restauración.
• Errores de conexión de componentes de copia de seguridad 10054 (el host remoto ha cerrado forzosamente una conexión existente).
• Los servicios relacionados con Azure Backup no se detendrán o iniciarán del modo habitual.

Recursos adicionales

• Protocolo Seguridad de la capa de transporte
• Garantía de la compatibilidad con TLS 1.2 en sistemas operativos implementados
• Para obtener más información, consulte Procedimientos recomendados sobre la seguridad de la capa de transporte (TLS) con .NET Framework.