Microsoft recuerda a los usuarios que los protocolos inseguros Transport
Layer Security (TLS) versión 1.0 y 1.1 se desactivarán pronto en futuras
versiones de Windows.
La especificación TLS 1.0 original y su sucesor TLS 1.1 se han utilizado
durante casi dos décadas; TLS 1.0 se introdujo inicialmente en 1999
y
TLS 1.1 en 2006).
Tras extensas discusiones y el desarrollo de 28 borradores de protocolo, el
Grupo de Trabajo de Ingeniería de Internet (IETF)
aprobó en marzo de 2018
la próxima versión principal del protocolo TLS,
TLS 1.3.
Microsoft habiltóe TLS 1.3 de forma predeterminada en todas las compilaciones
de Windows 10 Insider Preview a partir de la Build 20170 como el comienzo de
una implementación más amplia en todos los sistemas Windows 10. TLS 1.3
también está habilitado de forma predeterminada en IIS/HTTP.SYS y se agregó a
.NET a partir de la versión 5.0.
La compañía recomienda a los desarrolladores comenzar a implementar TLS 1.3
dentro de sus servicios y aplicaciones, utilizando los conjuntos de cifrado
TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384 y TLS_CHACHA20_POLY1305_SHA256
compatibles con la pila TLS de Windows.
«TLS 1.3 elimina los algoritmos criptográficos obsoletos, mejora la seguridad con respecto a las versiones anteriores y tiene como
objetivo cifrar la mayor cantidad posible de protocolos de enlace».
«Este cambio se aplica sólo a futuros nuevos sistemas operativos Windows,
tanto en las ediciones de cliente como de servidor. Las versiones de Windows
que ya han sido lanzadas no se verán afectadas por este cambio»,
recordó Microsoft a sus clientes el viernes.
«Las compilaciones de Windows 11 Insider Preview a partir de septiembre de
2023 tendrán las versiones TLS 1.0 y 1.1 deshabilitadas de forma
predeterminada. Existe una opción para volver a habilitar TLS 1.0 o TLS 1.1
para los usuarios que necesitan mantener la compatibilidad».
Se espera que la transición tenga un impacto mínimo en los usuarios domésticos
de Windows, con problemas previstos limitados.
Sin embargo, se recomienda a los administradores empresariales que realicen
pruebas para identificar y posteriormente actualizar o reemplazar las
aplicaciones afectadas.
Las aplicaciones que encuentren problemas o fallen después de deshabilitar las
versiones obsoletas de TLS se etiquetarán mediante el evento 36871 en
el registro de eventos de Windows.
Según las pruebas de Microsoft, la lista de aplicaciones de Windows que se
espera que se rompan después de deshabilitar TLS 1.0 o TLS 1.1 incluye (pero
no se limita a):
-
SQL Server – 2012, 2014, 2016 (see
KB3135244 – TLS 1.2 support for Microsoft SQL Server – Microsoft
Support
for how to upgrade to TLS 1.2 support) - Microsoft Office 2008 Professional – Accounting Express
- Xbox One SmartGlass – 2.2.1702.2004
- Project Plan 365 – 23.8.1204.14137
- Safari – 5.1.7
- EVault Data Protection – 7.01.6125
- Turbo Tax – 2017, 2014, 2011, 2012, 2016, 2015, 2018
Aunque la opción para
volver a habilitar TLS inseguro a través del Registro de Windows
seguirá estando disponible, solo debe hacerse como último esfuerzo hasta que
las aplicaciones incompatibles puedan actualizarse o reemplazarse.
También es importante tener en cuenta que Microsoft advirtió que la
compatibilidad con estas versiones TLS puede enfrentar una eliminación
completa.
Alejarse de los protocolos de cifrado de tráfico obsoletos
Esto sigue a una
declaración conjunta de Microsoft, Google, Apple y Mozilla en octubre de
2018, cuando anunciaron planes para comenzar a eliminar gradualmente los
protocolos TLS inseguros, y el proceso comenzará durante la primera mitad de
2020.
En agosto de 2020,
Microsoft había activado TLS 1.3
de forma predeterminada en las compilaciones de Windows 10 Insider.
La
NSA también brindó orientación en enero de 2021
sobre cómo identificar y reemplazar versiones y configuraciones obsoletas del
protocolo TLS con alternativas modernas y seguras.
«Las configuraciones obsoletas brindan a los adversarios acceso a tráfico
operativo sensible utilizando una variedad de técnicas, como el descifrado
pasivo y la modificación del tráfico mediante ataques de intermediario», dijo la NSA.
«Los atacantes pueden aprovechar configuraciones obsoletas del protocolo de
seguridad de la capa de transporte (TLS) para obtener acceso a datos
confidenciales con muy pocas habilidades necesarias».
Microsoft ha realizado varios otros cambios en sus productos con el objetivo final de ayudar a los clientes a realizar una transición más sencilla a TLS 1.2+:
En septiembre de 2019, Redmond también dijo que las nuevas versiones de Windows Server 2019 vienen con una función conocida como ‘Desactivar TLS heredado’ diseñada para permitir a los administradores bloquear versiones TLS débiles mediante el enlace de certificados.
Fuente:
BC
Los comentarios están cerrados.