Archivo subido con MsUpload

Actualización de Seguridad Requerida Migración a TLS 1.2 o superior en nuestros servicios web

2025-08-26T01:43:03Z

Amurillo:

<br>
[[Archivo:Mgdv3.png|izquierda|]]

[https://drive.google.com/file/d/1G97RIY0n-E3HZuEaF5qPl99vvE8fhFAO/view <big><b>Grabación 19-08-2025 de Sesión Especial de Aclaración de dudas sobre Actualización de Seguridad Requerida Migración a TLS 1.2 o superior</b></big>]
<p>En este video, te explicamos todo lo que necesitas saber para la '''Actualización de Seguridad a TLS 1.2 o superior'''.

Aprende a:
* Entender el comunicado enviado por el área de Integración.
* Aplicar el '''Manual de Hardening de TLS en Windows Server'''.
* Ver en vivo cómo ejecutar los scripts de configuración.

Al final, respondemos las preguntas realizadas por los asistentes. Esta es la guía que necesitas para cumplir con esta importante actualización.</p>
<br>

<h1>Manual de Hardening de TLS en Windows Server</h1>
<p>Este manual proporciona una guía detallada para administradores de sistemas sobre qué es el protocolo TLS (Transport Layer Security), por qué es crucial para la seguridad, y cómo configurar correctamente sus versiones en diferentes ediciones de Windows Server para garantizar la máxima protección.</p>

<h2>¿Qué es TLS?</h2>
<p>El protocolo <strong>TLS (Transport Transport Layer Security)</strong>, o "Seguridad de la Capa de Transporte", es un protocolo criptográfico diseñado para proporcionar comunicaciones seguras a través de una red. Su propósito fundamental es garantizar la privacidad y la integridad de los datos intercambiados entre dos aplicaciones, como un navegador web y un servidor. En esencia, TLS crea un "túnel" seguro y cifrado sobre la red pública (Internet), impidiendo que terceros puedan leer o modificar la información transmitida. Es la base de la confianza en el comercio electrónico, la banca en línea y cualquier servicio que maneje datos sensibles.</p>

<h2>Funcionamiento Básico: El Handshake</h2>
<p>Para establecer esta conexión segura, los clientes y servidores realizan un proceso de negociación llamado <strong>handshake</strong> (apretón de manos). De forma simplificada, el proceso es el siguiente:</p>
<ol>
<li><strong>Client Hello:</strong> El cliente, ej. tu navegador, envía un mensaje al servidor diciendo: "Hola, quiero establecer una conexión segura. Estas son las versiones de TLS y los algoritmos de cifrado que soporto".</li>
<li><strong>Server Hello:</strong> El servidor responde: "Hola. De acuerdo, usemos esta versión de TLS y este algoritmo de cifrado. Aquí tienes mi certificado digital".</li>
<li><strong>Verificación y Clave:</strong>
<ul>
<li>El cliente verifica la autenticidad del certificado digital del servidor (emitido por una Autoridad de Certificación - CA - de confianza). Esto confirma que el servidor es quien dice ser.</li>
<li>Ambas partes utilizan la información del certificado (la clave pública del servidor) para negociar de forma segura una clave de sesión secreta y simétrica que solo ellos conocerán.</li>
</ul>
</li>
<li><strong>Comunicación Segura:</strong> Una vez establecida la clave de sesión, toda la comunicación posterior entre el cliente y el servidor se cifra con esa clave. Si alguien intercepta los datos, sólo verá un galimatías indescifrable.</li>
</ol>

<h2>Relación con SSL y HTTPS</h2>
<ul>
<li><strong>SSL (Secure Sockets Layer):</strong> Es el predecesor de TLS. Aunque el término "SSL" se sigue usando coloquialmente, todas las versiones de SSL están obsoletas e inseguras. TLS es la evolución directa y segura de SSL.</li>
<li><strong>HTTPS (Hypertext Transfer Protocol Secure):</strong> No es un protocolo en sí mismo, sino la implementación de HTTP sobre una capa de seguridad TLS. Es la forma en que se aplica TLS a la navegación web. En resumen: HTTP + TLS = HTTPS.</li>
</ul>

<h2>Versiones de TLS: Un Recorrido Histórico y Actual</h2>
<h3>Línea de Tiempo de las Versiones:</h3>
<ul>
<li><strong>SSL 2.0 (1995):</strong> Obsoleta y plagada de fallos de seguridad.</li>
<li><strong>SSL 3.0 (1996):</strong> Obsoleta. Vulnerable a ataques críticos como POODLE.</li>
<li><strong>TLS 1.0 (1999):</strong> Obsoleta. Débil ante ataques como BEAST.</li>
<li><strong>TLS 1.1 (2006):</strong> Obsoleta. Ofrecía mejoras menores sobre TLS 1.0 pero comparte muchas de sus debilidades criptográficas.</li>
<li><strong>TLS 1.2 (2008):</strong> Estándar seguro y maduro. Ampliamente compatible y considerado el mínimo aceptable para una comunicación segura hoy en día.</li>
<li><strong>TLS 1.3 (2018):</strong> El estándar de oro actual. Ofrece la máxima seguridad y rendimiento.</li>
</ul>

<h3>Versiones Obsoletas y Vulnerables</h3>
<p>Las versiones SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1 se consideran inseguras y deben ser deshabilitadas en cualquier servidor en producción. Vulnerabilidades conocidas como POODLE y BEAST permiten a un atacante, bajo ciertas condiciones, descifrar el tráfico cifrado y robar información sensible como cookies de sesión o contraseñas.</p>

<h3>Versiones Seguras y Actuales</h3>
<p>Los únicos estándares aceptados actualmente son:</p>
<ul>
<li><strong>TLS 1.2:</strong> Es el requisito mínimo indispensable de seguridad.</li>
<li><strong>TLS 1.3:</strong> Es la versión recomendada por su superioridad en seguridad y rendimiento.</li>
</ul>

<h3>Mejoras Clave en TLS 1.2 y TLS 1.3</h3>
<p>TLS 1.2 introdujo el soporte para algoritmos de cifrado más robustos y seguros (como AES-GCM) que no estaban disponibles en versiones anteriores.</p>
<p>TLS 1.3 representa un salto cualitativo importante:</p>
<ul>
<li><strong>Handshake más rápido:</strong> Reduce la latencia al requerir menos viajes de ida y vuelta entre el cliente y el servidor para establecer la conexión.</li>
<li><strong>Suite de Cifrado más simple y fuerte:</strong> Elimina algoritmos obsoletos y débiles, forzando el uso de criptografía moderna y segura.</li>
<li><strong>Mayor seguridad:</strong> Cifra más partes del handshake, protegiendo mejor la identidad del cliente y del servidor.</li>
</ul>

<h2>Guía Práctica: Activación de TLS en Servidores Windows</h2>
<p>A continuación, se detallan los pasos para habilitar las versiones seguras de TLS y deshabilitar las inseguras. Consideraciones Previas Importantes:</p>
<ol>
<li><strong>Copia de Seguridad del Registro:</strong> Antes de realizar cualquier cambio, siempre cree una copia de seguridad del Registro de Windows. Un error podría desestabilizar el sistema.</li>
<li><strong>Reinicio Requerido:</strong> Los cambios en la configuración de SCHANNEL (el proveedor de seguridad de Windows que implementa TLS) requieren un reinicio del servidor para surtir efecto.</li>
<li><strong>Dependencias de .NET Framework:</strong> Asegúrese de que las aplicaciones que se ejecutan en el servidor, especialmente las basadas en .NET, sean compatibles con TLS 1.2. Es posible que necesite actualizar .NET Framework a la versión 4.6.2 o superior para una compatibilidad total.</li>
</ol>

<h3>En Windows Server 2012 y 2012 R2</h3>
<p>Tenga en cuenta:</p>
<ul>
<li>TLS 1.2 es compatible pero no está habilitado por defecto para todas las aplicaciones.</li>
<li>TLS 1.3 no es compatible. Puedes ver una tabla de compatibilidad en las páginas oficiales de Microsoft.</li>
</ul>

<h3>Habilitar TLS 1.2</h3>
<h4>Vía Editor de Registro (regedit.exe) en Modo Administrador</h4>
</br>
[[Archivo:regedit.png|400px|center]]
</br>
<p>1. Navegue a la ruta: <code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Security Providers\SCHANNEL\Protocols</code></p>
</br>
[[Archivo:HKEY_LOCAL_MACHINE.png|500px|center]]
</br>

<p>2. Cree una nueva clave llamada <strong>TLS 1.2</strong>.</p>
</br>
[[Archivo:nueva clave llamada TLS 1.2.png|500px|center]]
</br>

<p>3. Dentro de <strong>TLS 1.2</strong>, cree dos claves más: <strong>Client</strong> y <strong>Server</strong>.</p>
</br>
[[Archivo:Dos claves más Client y Server.png|200px|center]]
</br>
<p>4. Dentro de <strong>Client</strong> y <strong>Server</strong>, cree los siguientes valores DWORD (32-bit):</p>
<ul>
<li><code>DisabledByDefault:</code> Valor = 0</li>
<li><code>Enabled:</code> Valor = 1</li>
</ul>
</br>
[[Archivo:DWORD (32-bit).png|400px|center]]
</br>
</br>
[[Archivo:Enabled Valor 1.png|400px|center]]
</br>
<h4>Vía PowerShell (Automatizado y Recomendado)</h4>
<p><strong>Nota:</strong> Probado en Powershell 7 y en modo Administrador. No se garantiza funcione en Powershell 5 o versiones inferiores a 7.</p>
<pre><code>
# Habilitar TLS 1.2 para Cliente y Servidor en Windows Server 2012 / R2
# Definir la ruta base
$ProtocolPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Security Providers\SCHANNEL\Protocols\TLS 1.2"

# Crear las claves de registro si no existen
if (-not (Test-Path "$ProtocolPath\Client")) {
New-Item -Path "$ProtocolPath\Client" -Force | Out-Null
}
if (-not (Test-Path "$ProtocolPath\Server")) {
New-Item -Path "$ProtocolPath\Server" -Force | Out-Null
}

# Configurar valores para el Cliente
New-ItemProperty -Path "$ProtocolPath\Client" -Name "DisabledByDefault" -Value 0 -PropertyType "DWord" -Force
New-ItemProperty -Path "$ProtocolPath\Client" -Name "Enabled" -Value 1 -PropertyType "DWord" -Force

# Configurar valores para el Servidor
New-ItemProperty -Path "$ProtocolPath\Server" -Name "DisabledByDefault" -Value 0 -PropertyType "DWord" -Force
New-ItemProperty -Path "$ProtocolPath\Server" -Name "Enabled" -Value 1 -PropertyType "DWord" -Force

Write-Host "TLS 1.2 ha sido habilitado. Se requiere un reinicio del servidor."
</code></pre>

<h3>Deshabilitar TLS 1.0 y 1.1</h3>
<p>Para deshabilitar las versiones inseguras, debe crear claves similares pero establecer el valor <code>Enabled</code> en 0.</p>
<h4>Vía Editor de Registro (regedit.exe)</h4>
<ol>
<li>Navegue a: <code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Security Providers\SCHANNEL\Protocols</code></li>
<li>Para <strong>TLS 1.0</strong> y <strong>TLS 1.1</strong>, cree las claves si no existen (TLS 1.0, Client, Server).</li>
<li>Dentro de las claves <strong>Client</strong> y <strong>Server</strong> de <strong>TLS 1.0</strong> y <strong>TLS 1.1</strong>, cree o modifique el valor DWORD (32-bit):
<ul>
<li><code>Enabled:</code> Valor = 0</li>
</ul>
</li>
</ol>

<h3>En Versiones Superiores (Windows Server 2016, 2019)</h3>
<p>En estas versiones, TLS 1.2 ya viene habilitado por defecto. El trabajo principal es deshabilitar las versiones más antiguas para fortalecer la seguridad. TLS 1.3 no es compatible.</p>

<h4>Vía PowerShell para deshabilitar TLS 1.0 y 1.1</h4>
<pre><code>
# Deshabilitar TLS 1.0 y TLS 1.1 en Windows Server 2016/2019
# Rutas para los protocolos a deshabilitar
$ProtocolsToDisable = @("TLS 1.0", "TLS 1.1")

foreach ($Protocol in $ProtocolsToDisable) {
$ProtocolPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\$Protocol"
# Crear claves si no existen
if (-not (Test-Path "$ProtocolPath\Client")) { New-Item -Path "$ProtocolPath\Client" -Force | Out-Null}
if (-not (Test-Path "$ProtocolPath\Server")) { New-Item -Path "$ProtocolPath\Server" -Force | Out-Null}

# Deshabilitar Cliente y Servidor para el protocolo
New-ItemProperty -Path "$ProtocolPath\Client" -Name "Enabled" -Value 0 -PropertyType "DWord" -Force
New-ItemProperty -Path "$ProtocolPath\Server" -Name "Enabled" -Value 0 -PropertyType "DWord" -Force
Write-Host "El protocolo $Protocol ha sido deshabilitado."
}
Write-Host "Se requiere un reinicio del servidor para aplicar los cambios."
</code></pre>

<h3>En Windows Server 2022</h3>
<p>Windows Server 2022 es la primera versión de Windows Server con soporte para TLS 1.3, que está habilitado por defecto junto con TLS 1.2. Lo ideal es deshabilitar TLS 1.0 y 1.1, lo cual se puede hacer con el mismo script de PowerShell para Server 2016/2019.</p>

<h3>En Versiones Inferiores (Windows Server 2008 R2)</h3>
<p>Esta versión es antigua y requiere atención especial. TLS 1.2 no está habilitado por defecto.</p>

<h4>Habilitar TLS 1.2</h4>
<ol>
<li><strong>Instalar Actualización:</strong> Primero, asegúrese de que la actualización KB3140245 está instalada para agregar el soporte de TLS 1.2 a nivel de sistema operativo.</li>
<li><strong>Habilitar vía Registro:</strong> Siga los mismos pasos de registro descritos para Windows Server 2012 R2 para crear las claves y valores para TLS 1.2 (Client y Server) y establecer <code>Enabled</code> en 1 y <code>DisabledByDefault</code> en 0.</li>
</ol>

<h2>Tabla de Compatibilidad de Lenguajes de Programación </h2>
<p>
La siguiente tabla presenta una comparación de distintos lenguajes de programación en cuanto a su compatibilidad con el protocolo TLS.
Se detallan las librerías o mecanismos que cada lenguaje utiliza por defecto, el nivel de soporte para las versiones TLS 1.2 y 1.3,
así como las versiones mínimas comunes necesarias para habilitar dicho soporte.
También se incluyen notas relevantes que explican particularidades, limitaciones o dependencias de cada entorno.
El objetivo es ofrecer una visión general que facilite identificar el nivel de seguridad y requisitos adicionales en cada lenguaje.
Esta información resulta útil para desarrolladores y administradores que requieran implementar conexiones seguras en sus proyectos.
</p>
{| class="wikitable" style="margin:auto; width:70%; text-align:center; font-size:90%;"
| Python || ssl (OpenSSL) || TLS 1.2 / 1.3 || Depende de OpenSSL || TLS 1.0/1.1 deshabilitados en 3.10+.
|-
| Java || JSSE || TLS 1.2 / 1.3 || Java 8 (1.8), 11 (11.3) || TLS 1.3 desde Java 11.
|-
| C# / .NET || System.Net.Security || TLS 1.2 / 1.3 || Depende de S.O. || TLS controlado por SChannel en Windows.
|-
| PHP || openssl || TLS 1.2 / 1.3 || PHP 7.4+ con OpenSSL 1.1.1 || TLS 1.3 desde OpenSSL 1.1.1+.
|-
| Node.js || tls (OpenSSL) || TLS 1.2 / 1.3 || OpenSSL 1.1.1+ || TLSv1.0/1.1 deshabilitados desde Node 10.
|-
| Go || crypto/tls || TLS 1.2 / 1.3 || Go 1.13+ || Go 1.20 deja de ofrecer 1.13.
|-
| Ruby || OpenSSL || TLS 1.2 / 1.3 || Ruby 2.5+ || Depende de OpenSSL del sistema.
|-
| Perl || IO::Socket::SSL || TLS 1.2 / 1.3 || OpenSSL backend || Configurable.
|-
| Rust || rustls o openssl || TLS 1.2 / 1.3 || rustls → solo moderno || No soporta SSLv3 ni TLS obsoletos.
|-
| C / C++ || OpenSSL / GnuTLS || TLS 1.2 / 1.3 || Depende de la versión || Base para muchos otros.
|-
| Swift || Network.framework / CFNetwork || TLS 1.2 / 1.3 || iOS 12+ / macOS 10.14+ || TLS 1.3 soportado.
|-
| Kotlin || Usa pila Java || TLS 1.2 / 1.3 || Igual que Java || Depende de JVM.
|-
| Visual Basic (VB6) || Ninguno nativo (usa WinInet/COM) || No nativo || Requiere librerías externas || Se apoya en SChannel del SO.
|-
| Visual FoxPro || Ninguno nativo || No soporta || Requiere OCX externos || SSL/TLS posible vía ActiveX o llamadas WinAPI.
|-
| Pascal (Delphi/FreePascal) || Indy (Internet Direct) || TLS 1.0 / 1.2 (con librerías) || TLS 1.3 requiere librerías externas || No soporta TLS por defecto; se usan componentes.
|-
| COBOL || Depende del compilador (Ej. Micro Focus, GnuCOBOL) || No nativo || TLS mediante librerías externas (Ej. OpenSSL) || Entornos mainframe usan módulos externos.
|-
| Fortran || Ninguno nativo || No soporta || Requiere bindings a C || Soporte indirecto usando OpenSSL vía C.
|-
| Clipper / dBase || Ninguno nativo || No soporta || Solo vía wrappers modernos || Requiere librerías externas.
|-
| PowerBuilder || Ninguno nativo || TLS vía WinInet/COM || Depende de versión || Requiere usar API de Windows.
|}

<h3>Adicionales: Instalación de sslscan</h3>
<p>Este proyecto es una herramienta open source y funciona tanto en Windows como en Linux.</p>

<h4>1. Instalación En windows</h4>
<p>Puedes descargarlo desde github "bajo el nombre sslscan-2.2.0.zip": https://github.com/rbsec/sslscan/releases/tag/2.2.0</P>
[[Archivo:sslscan_zip.png|400px|center]]
</br>

<p>Luego descomprima y agregue la ruta donde escoja descomprimir la aplicación a sus variables de entorno</p>
[[Archivo:Propiedad_sistema.png|400px|center]]
<br>
[[Archivo:Variables_entorno.png|400px|center]]
<p>Una vez realizado estos pasos, puedes iniciar powershell y ejecutar el comando sslscan -- version y debera dar la siguiente respuesta:</p>
[[Archivo:Comando_SSL.png|400px|center]]

<h4>2. Instalación En Linux</h4>
<p>Se recomienda seguir el tutorial indicado en la misma web del creador de la aplicación: https://github.com/rbsec/sslscan</P>
<p>y realizar la compilación del programa</p>
[[Archivo:Compilacion_programa.png|400px|center]]
</br>

<h4>Nota Importante:</h4><p>En cada versión de linux los comandos pueden variar; por favor ajuste los mismos a la versión que esté utilizando. Para hacer uso de la aplicación (en Linux o Windows) solo debe hacer uso del comando sslscan url a escanear.</p>
<p>Ejemplo: sslscan [http://emision21v4.thefactoryhka.com.co emision21v4.thefactoryhka.com.co]</p>
[[Archivo:SSLSCAN_emision21V4.png|400px|center]]

<h4>Nota Importante:</h4><p>Si el aplicativo indica la palabra “'''enabled'''” al lado del protocolo significa:</p>
<ol>
<li>Su servidor o computador soporta el protocolo de comunicación</li>
<li>El servidor destino tiene habilitado el protocolo</li>
</ol>

<p>No hace falta realizar configuraciones adicionales</p>

Archivo:Sslscan zip.png

2025-08-26T00:59:37Z

Amurillo:

Actualización de Seguridad Requerida Migración a TLS 1.2 o superior en nuestros servicios web

2025-08-20T13:42:44Z

Amurillo: