Microsoft recuerda a los usuarios que los protocolos inseguros Transport Layer Security (TLS) versión 1.0 y 1.1 se desactivarán pronto en futuras versiones de Windows.
La especificación TLS 1.0 original y su sucesor TLS 1.1 se han utilizado durante casi dos décadas; TLS 1.0 se introdujo inicialmente en 1999 y TLS 1.1 en 2006).
Tras extensas discusiones y el desarrollo de 28 borradores de protocolo, el Grupo de Trabajo de Ingeniería de Internet (IETF) aprobó en marzo de 2018 la próxima versión principal del protocolo TLS, TLS 1.3.
Microsoft habiltóe TLS 1.3 de forma predeterminada en todas las compilaciones de Windows 10 Insider Preview a partir de la Build 20170 como el comienzo de una implementación más amplia en todos los sistemas Windows 10. TLS 1.3 también está habilitado de forma predeterminada en IIS/HTTP.SYS y se agregó a .NET a partir de la versión 5.0.
La compañía recomienda a los desarrolladores comenzar a implementar TLS 1.3 dentro de sus servicios y aplicaciones, utilizando los conjuntos de cifrado TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384 y TLS_CHACHA20_POLY1305_SHA256 compatibles con la pila TLS de Windows.
"TLS 1.3 elimina los algoritmos criptográficos obsoletos, mejora la seguridad con respecto a las versiones anteriores y tiene como objetivo cifrar la mayor cantidad posible de protocolos de enlace".
"Este cambio se aplica sólo a futuros nuevos sistemas operativos Windows, tanto en las ediciones de cliente como de servidor. Las versiones de Windows que ya han sido lanzadas no se verán afectadas por este cambio", recordó Microsoft a sus clientes el viernes. "Las compilaciones de Windows 11 Insider Preview a partir de septiembre de 2023 tendrán las versiones TLS 1.0 y 1.1 deshabilitadas de forma predeterminada. Existe una opción para volver a habilitar TLS 1.0 o TLS 1.1 para los usuarios que necesitan mantener la compatibilidad".
Se espera que la transición tenga un impacto mínimo en los usuarios domésticos de Windows, con problemas previstos limitados. Sin embargo, se recomienda a los administradores empresariales que realicen pruebas para identificar y posteriormente actualizar o reemplazar las aplicaciones afectadas.
Las aplicaciones que encuentren problemas o fallen después de deshabilitar las versiones obsoletas de TLS se etiquetarán mediante el evento 36871 en el registro de eventos de Windows.
Según las pruebas de Microsoft, la lista de aplicaciones de Windows que se espera que se rompan después de deshabilitar TLS 1.0 o TLS 1.1 incluye (pero no se limita a):
- SQL Server - 2012, 2014, 2016 (see KB3135244 - TLS 1.2 support for Microsoft SQL Server - Microsoft Support for how to upgrade to TLS 1.2 support)
- Microsoft Office 2008 Professional - Accounting Express
- Xbox One SmartGlass - 2.2.1702.2004
- Project Plan 365 - 23.8.1204.14137
- Safari - 5.1.7
- EVault Data Protection - 7.01.6125
- Turbo Tax - 2017, 2014, 2011, 2012, 2016, 2015, 2018
Aunque la opción para volver a habilitar TLS inseguro a través del Registro de Windows seguirá estando disponible, solo debe hacerse como último esfuerzo hasta que las aplicaciones incompatibles puedan actualizarse o reemplazarse.
También es importante tener en cuenta que Microsoft advirtió que la compatibilidad con estas versiones TLS puede enfrentar una eliminación completa.
Alejarse de los protocolos de cifrado de tráfico obsoletos
Esto sigue a una declaración conjunta de Microsoft, Google, Apple y Mozilla en octubre de 2018, cuando anunciaron planes para comenzar a eliminar gradualmente los protocolos TLS inseguros, y el proceso comenzará durante la primera mitad de 2020.
En agosto de 2020, Microsoft había activado TLS 1.3 de forma predeterminada en las compilaciones de Windows 10 Insider.
La NSA también brindó orientación en enero de 2021 sobre cómo identificar y reemplazar versiones y configuraciones obsoletas del protocolo TLS con alternativas modernas y seguras.
"Las configuraciones obsoletas brindan a los adversarios acceso a tráfico operativo sensible utilizando una variedad de técnicas, como el descifrado pasivo y la modificación del tráfico mediante ataques de intermediario", dijo la NSA. "Los atacantes pueden aprovechar configuraciones obsoletas del protocolo de seguridad de la capa de transporte (TLS) para obtener acceso a datos confidenciales con muy pocas habilidades necesarias".
Microsoft ha realizado varios otros cambios en sus productos con el objetivo final de ayudar a los clientes a realizar una transición más sencilla a TLS 1.2+:- añadir compatibilidad con TLS 1.2 a sistemas operativos más antiguos,
- mediante el envío de nuevos formatos de registro en IIS para detectar un uso débil de TLS por parte de los clientes,
- además de proporcionar la orientación técnica más reciente para eliminar las dependencias de TLS 1.0.
En septiembre de 2019, Redmond también dijo que las nuevas versiones de Windows Server 2019 vienen con una función conocida como 'Desactivar TLS heredado' diseñada para permitir a los administradores bloquear versiones TLS débiles mediante el enlace de certificados.
Fuente: BC