Actualización de Seguridad Requerida Migración a TLS 1.2 o superior en nuestros servicios web

2025-08-14T22:20:53Z

Jolaya: Página creada con « <h1>Manual de Hardening de TLS en Windows Server</h1> <p>Este manual proporciona una guía detallada para administradores de sistemas sobre qué es el protocolo TLS (Transport Layer Security), por qué es crucial para la seguridad, y cómo configurar correctamente sus versiones en diferentes ediciones de Windows Server para garantizar la máxima protección.</p> <h2>¿Qué es TLS?</h2> <p>El protocolo <strong>TLS (Transport Transport La…»

<h1>Manual de Hardening de TLS en Windows Server</h1>
<p>Este manual proporciona una guía detallada para administradores de sistemas sobre qué es el protocolo TLS (Transport Layer Security), por qué es crucial para la seguridad, y cómo configurar correctamente sus versiones en diferentes ediciones de Windows Server para garantizar la máxima protección.</p>

<h2>¿Qué es TLS?</h2>
<p>El protocolo <strong>TLS (Transport Transport Layer Security)</strong>, o "Seguridad de la Capa de Transporte", es un protocolo criptográfico diseñado para proporcionar comunicaciones seguras a través de una red. Su propósito fundamental es garantizar la privacidad y la integridad de los datos intercambiados entre dos aplicaciones, como un navegador web y un servidor. En esencia, TLS crea un "túnel" seguro y cifrado sobre la red pública (Internet), impidiendo que terceros puedan leer o modificar la información transmitida. Es la base de la confianza en el comercio electrónico, la banca en línea y cualquier servicio que maneje datos sensibles.</p>

<h2>Funcionamiento Básico: El Handshake</h2>
<p>Para establecer esta conexión segura, los clientes y servidores realizan un proceso de negociación llamado <strong>handshake</strong> (apretón de manos). De forma simplificada, el proceso es el siguiente:</p>
<ol>
<li><strong>Client Hello:</strong> El cliente, ej. tu navegador, envía un mensaje al servidor diciendo: "Hola, quiero establecer una conexión segura. Estas son las versiones de TLS y los algoritmos de cifrado que soporto".</li>
<li><strong>Server Hello:</strong> El servidor responde: "Hola. De acuerdo, usemos esta versión de TLS y este algoritmo de cifrado. Aquí tienes mi certificado digital".</li>
<li><strong>Verificación y Clave:</strong>
<ul>
<li>El cliente verifica la autenticidad del certificado digital del servidor (emitido por una Autoridad de Certificación - CA - de confianza). Esto confirma que el servidor es quien dice ser.</li>
<li>Ambas partes utilizan la información del certificado (la clave pública del servidor) para negociar de forma segura una clave de sesión secreta y simétrica que solo ellos conocerán.</li>
</ul>
</li>
<li><strong>Comunicación Segura:</strong> Una vez establecida la clave de sesión, toda la comunicación posterior entre el cliente y el servidor se cifra con esa clave. Si alguien intercepta los datos, sólo verá un galimatías indescifrable.</li>
</ol>

<h2>Relación con SSL y HTTPS</h2>
<ul>
<li><strong>SSL (Secure Sockets Layer):</strong> Es el predecesor de TLS. Aunque el término "SSL" se sigue usando coloquialmente, todas las versiones de SSL están obsoletas e inseguras. TLS es la evolución directa y segura de SSL.</li>
<li><strong>HTTPS (Hypertext Transfer Protocol Secure):</strong> No es un protocolo en sí mismo, sino la implementación de HTTP sobre una capa de seguridad TLS. Es la forma en que se aplica TLS a la navegación web. En resumen: HTTP + TLS = HTTPS.</li>
</ul>

<h2>Versiones de TLS: Un Recorrido Histórico y Actual</h2>
<h3>Línea de Tiempo de las Versiones:</h3>
<ul>
<li><strong>SSL 2.0 (1995):</strong> Obsoleta y plagada de fallos de seguridad.</li>
<li><strong>SSL 3.0 (1996):</strong> Obsoleta. Vulnerable a ataques críticos como POODLE.</li>
<li><strong>TLS 1.0 (1999):</strong> Obsoleta. Débil ante ataques como BEAST.</li>
<li><strong>TLS 1.1 (2006):</strong> Obsoleta. Ofrecía mejoras menores sobre TLS 1.0 pero comparte muchas de sus debilidades criptográficas.</li>
<li><strong>TLS 1.2 (2008):</strong> Estándar seguro y maduro. Ampliamente compatible y considerado el mínimo aceptable para una comunicación segura hoy en día.</li>
<li><strong>TLS 1.3 (2018):</strong> El estándar de oro actual. Ofrece la máxima seguridad y rendimiento.</li>
</ul>

<h3>Versiones Obsoletas y Vulnerables</h3>
<p>Las versiones SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1 se consideran inseguras y deben ser deshabilitadas en cualquier servidor en producción. Vulnerabilidades conocidas como POODLE y BEAST permiten a un atacante, bajo ciertas condiciones, descifrar el tráfico cifrado y robar información sensible como cookies de sesión o contraseñas.</p>

<h3>Versiones Seguras y Actuales</h3>
<p>Los únicos estándares aceptados actualmente son:</p>
<ul>
<li><strong>TLS 1.2:</strong> Es el requisito mínimo indispensable de seguridad.</li>
<li><strong>TLS 1.3:</strong> Es la versión recomendada por su superioridad en seguridad y rendimiento.</li>
</ul>

<h3>Mejoras Clave en TLS 1.2 y TLS 1.3</h3>
<p>TLS 1.2 introdujo el soporte para algoritmos de cifrado más robustos y seguros (como AES-GCM) que no estaban disponibles en versiones anteriores.</p>
<p>TLS 1.3 representa un salto cualitativo importante:</p>
<ul>
<li><strong>Handshake más rápido:</strong> Reduce la latencia al requerir menos viajes de ida y vuelta entre el cliente y el servidor para establecer la conexión.</li>
<li><strong>Suite de Cifrado más simple y fuerte:</strong> Elimina algoritmos obsoletos y débiles, forzando el uso de criptografía moderna y segura.</li>
<li><strong>Mayor seguridad:</strong> Cifra más partes del handshake, protegiendo mejor la identidad del cliente y del servidor.</li>
</ul>

<h2>Guía Práctica: Activación de TLS en Servidores Windows</h2>
<p>A continuación, se detallan los pasos para habilitar las versiones seguras de TLS y deshabilitar las inseguras. Consideraciones Previas Importantes:</p>
<ol>
<li><strong>Copia de Seguridad del Registro:</strong> Antes de realizar cualquier cambio, siempre cree una copia de seguridad del Registro de Windows. Un error podría desestabilizar el sistema.</li>
<li><strong>Reinicio Requerido:</strong> Los cambios en la configuración de SCHANNEL (el proveedor de seguridad de Windows que implementa TLS) requieren un reinicio del servidor para surtir efecto.</li>
<li><strong>Dependencias de .NET Framework:</strong> Asegúrese de que las aplicaciones que se ejecutan en el servidor, especialmente las basadas en .NET, sean compatibles con TLS 1.2. Es posible que necesite actualizar .NET Framework a la versión 4.6.2 o superior para una compatibilidad total.</li>
</ol>

<h3>En Windows Server 2012 y 2012 R2</h3>
<p>Tenga en cuenta:</p>
<ul>
<li>TLS 1.2 es compatible pero no está habilitado por defecto para todas las aplicaciones.</li>
<li>TLS 1.3 no es compatible. Puedes ver una tabla de compatibilidad en las páginas oficiales de Microsoft.</li>
</ul>

<h3>Habilitar TLS 1.2</h3>
<h4>Vía Editor de Registro (regedit.exe) en Modo Administrador</h4>
</br>
[[Archivo:regedit.png|400px|center]]
</br>
<p>1. Navegue a la ruta: <code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Security Providers\SCHANNEL\Protocols</code></p>
</br>
[[Archivo:HKEY_LOCAL_MACHINE.png|500px|center]]
</br>

<p>2. Cree una nueva clave llamada <strong>TLS 1.2</strong>.</p>
</br>
[[Archivo:nueva clave llamada TLS 1.2.png|500px|center]]
</br>

<p>3. Dentro de <strong>TLS 1.2</strong>, cree dos claves más: <strong>Client</strong> y <strong>Server</strong>.</p>
</br>
[[Archivo:Dos claves más Client y Server.png|200px|center]]
</br>
<p>4. Dentro de <strong>Client</strong> y <strong>Server</strong>, cree los siguientes valores DWORD (32-bit):</p>
<ul>
<li><code>DisabledByDefault:</code> Valor = 0</li>
<li><code>Enabled:</code> Valor = 1</li>
</ul>
</br>
[[Archivo:DWORD (32-bit).png|400px|center]]
</br>
</br>
[[Archivo:Enabled Valor 1.png|400px|center]]
</br>
<h4>Vía PowerShell (Automatizado y Recomendado)</h4>
<p><strong>Nota:</strong> Probado en Powershell 7 y en modo Administrador. No se garantiza funcione en Powershell 5 o versiones inferiores a 7.</p>
<pre><code>
# Habilitar TLS 1.2 para Cliente y Servidor en Windows Server 2012 / R2
# Definir la ruta base
$ProtocolPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Security Providers\SCHANNEL\Protocols\TLS 1.2"

# Crear las claves de registro si no existen
if (-not (Test-Path "$ProtocolPath\Client")) {
New-Item -Path "$ProtocolPath\Client" -Force | Out-Null
}
if (-not (Test-Path "$ProtocolPath\Server")) {
New-Item -Path "$ProtocolPath\Server" -Force | Out-Null
}

# Configurar valores para el Cliente
New-ItemProperty -Path "$ProtocolPath\Client" -Name "DisabledByDefault" -Value 0 -PropertyType "DWord" -Force
New-ItemProperty -Path "$ProtocolPath\Client" -Name "Enabled" -Value 1 -PropertyType "DWord" -Force

# Configurar valores para el Servidor
New-ItemProperty -Path "$ProtocolPath\Server" -Name "DisabledByDefault" -Value 0 -PropertyType "DWord" -Force
New-ItemProperty -Path "$ProtocolPath\Server" -Name "Enabled" -Value 1 -PropertyType "DWord" -Force

Write-Host "TLS 1.2 ha sido habilitado. Se requiere un reinicio del servidor."
</code></pre>

<h3>Deshabilitar TLS 1.0 y 1.1</h3>
<p>Para deshabilitar las versiones inseguras, debe crear claves similares pero establecer el valor <code>Enabled</code> en 0.</p>
<h4>Vía Editor de Registro (regedit.exe)</h4>
<ol>
<li>Navegue a: <code>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Security Providers\SCHANNEL\Protocols</code></li>
<li>Para <strong>TLS 1.0</strong> y <strong>TLS 1.1</strong>, cree las claves si no existen (TLS 1.0, Client, Server).</li>
<li>Dentro de las claves <strong>Client</strong> y <strong>Server</strong> de <strong>TLS 1.0</strong> y <strong>TLS 1.1</strong>, cree o modifique el valor DWORD (32-bit):
<ul>
<li><code>Enabled:</code> Valor = 0</li>
</ul>
</li>
</ol>

<h3>En Versiones Superiores (Windows Server 2016, 2019)</h3>
<p>En estas versiones, TLS 1.2 ya viene habilitado por defecto. El trabajo principal es deshabilitar las versiones más antiguas para fortalecer la seguridad. TLS 1.3 no es compatible.</p>

<h4>Vía PowerShell para deshabilitar TLS 1.0 y 1.1</h4>
<pre><code>
# Deshabilitar TLS 1.0 y TLS 1.1 en Windows Server 2016/2019
# Rutas para los protocolos a deshabilitar
$ProtocolsToDisable = @("TLS 1.0", "TLS 1.1")

foreach ($Protocol in $ProtocolsToDisable) {
$ProtocolPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\$Protocol"
# Crear claves si no existen
if (-not (Test-Path "$ProtocolPath\Client")) { New-Item -Path "$ProtocolPath\Client" -Force | Out-Null}
if (-not (Test-Path "$ProtocolPath\Server")) { New-Item -Path "$ProtocolPath\Server" -Force | Out-Null}

# Deshabilitar Cliente y Servidor para el protocolo
New-ItemProperty -Path "$ProtocolPath\Client" -Name "Enabled" -Value 0 -PropertyType "DWord" -Force
New-ItemProperty -Path "$ProtocolPath\Server" -Name "Enabled" -Value 0 -PropertyType "DWord" -Force
Write-Host "El protocolo $Protocol ha sido deshabilitado."
}
Write-Host "Se requiere un reinicio del servidor para aplicar los cambios."
</code></pre>

<h3>En Windows Server 2022</h3>
<p>Windows Server 2022 es la primera versión de Windows Server con soporte para TLS 1.3, que está habilitado por defecto junto con TLS 1.2. Lo ideal es deshabilitar TLS 1.0 y 1.1, lo cual se puede hacer con el mismo script de PowerShell para Server 2016/2019.</p>

<h3>En Versiones Inferiores (Windows Server 2008 R2)</h3>
<p>Esta versión es antigua y requiere atención especial. TLS 1.2 no está habilitado por defecto.</p>

<h4>Habilitar TLS 1.2</h4>
<ol>
<li><strong>Instalar Actualización:</strong> Primero, asegúrese de que la actualización KB3140245 está instalada para agregar el soporte de TLS 1.2 a nivel de sistema operativo.</li>
<li><strong>Habilitar vía Registro:</strong> Siga los mismos pasos de registro descritos para Windows Server 2012 R2 para crear las claves y valores para TLS 1.2 (Client y Server) y establecer <code>Enabled</code> en 1 y <code>DisabledByDefault</code> en 0.</li>
</ol>

Archivo:Enabled Valor 1.png

2025-08-14T21:49:06Z

Jolaya:

Archivo:DWORD (32-bit).png

2025-08-14T21:48:47Z

Jolaya:

Archivo:Dos claves más Client y Server.png

2025-08-14T21:48:29Z

Jolaya:

Archivo:Nueva clave llamada TLS 1.2.png

2025-08-14T21:48:03Z

Jolaya:

Archivo:HKEY LOCAL MACHINE.png

2025-08-14T21:47:34Z

Jolaya:

Archivo:Regedit.png

2025-08-14T21:19:48Z

Jolaya:

Sección para clientes de Integración

2025-08-14T21:14:07Z

Jolaya:

[[Archivo:Tfhka-co.png|sinmarco|derecha]]
Bienvenido a la sección para clientes de integración donde podrá encontrar información tal como preguntas frecuentes y manuales útiles en el proceso de integración para el correcto manejo del Web Service, encontrara información segmentada por Factura Electrónica y Nómina Electrónica entre otros.
<br><br>

* [[Pasos que debe seguir para integrar Factura a través de Casa de Software]]
* [[Pasos que debe seguir para integrar Nómina a través de Casa de Software]]
* [[Canales de Comunicación]]
* [[Canal de Notificaciones Técnicas Telegram]]

<br>
[[File:HKAFactura 3.png|200px]]
<br>

* [[Índice del Manual de Integración Directa]]

* [[Direct Integration Manual Index - Electronic Invoice]]
* <u>'''[[Facturación Electrónica bajo Resoluciones DIAN]]'''</u>
* [[Herramientas Alternativas de Integración Facturación]]
* <u>'''[[Servicio Gestión Contribuyentes]]'''</u>
* [[Representaciones Gráficas en el proceso de Emisión]]
* [[Reglas de Rechazo DIAN - Integración]]
* [[Preguntas Frecuentes de Integración con servicio Web (Val. Previa)]]
* [[Tips Urls de Emisión]]

<br>
[[File:HKANomina 3.png|200px]]
<br>

* [[Índice del Manual de Integración Nómina Electrónica]]
* [[Portal Web Nómina Electrónica]]
* [[Habilitación Nómina Electrónica]]
* <u>'''[[Herramientas Alternativas de Integración Nómina]]'''</u>
* [[Nómina Electrónica según Concepto Unificado DIAN 0106 – 19 agosto 2022 ]]
* [[Preguntas Frecuentes de Integración Nómina Electrónica]]
* [[Tips Urls de Emisión Nómina Electrónica]]

<br>
[[File:HKARecepcion 3.png|260px]]
<br>

* [[Índice del Manual de Integración Directa HKA Recepción]]
* [[HKA Reception Direct Integration Manual Index]]
* [[Preguntas Frecuentes de Integración Recepción Electrónica]]
* [[Tips Urls de Recepción Integración]]

<br>
[[File:HKAEquivalente1.png|260px]]
<br>
* [[Indice del Manual Integración Directa HKA Documentos Equivalentes Electrónicos]]
* [[Requisitos minimos de las Representaciones grafica para documento equivalente]]
* [[Preguntas Frecuentes de Integración Documento Equivalente Electrónico]]
* [[Tips Urls de documento equivalente Integración]]
<br>
<br>
<br>

<br>
[[File:ArticulosInteresIntegracion.png|260px]]
<br>
* [[HKA TIPS]]
* [[Consideraciones Url Versión 4]]
* [[Recomendaciones para integraciones ante escenarios de intermitencia o Timeouts DIAN]]
* [[Manejo de SoapUI para pruebas en Demo]]
* [[Manejo de Postman para pruebas en Demo]]
* [[Campo extra para informar el Fabricante de Software]]
* [[Recomendaciones en la implementación de la factura electronica]]
* [[Politicas de seguridad de la información para aliados de The Factory HKA]]
* [[Actualización de Seguridad Requerida Migración a TLS 1.2 o superior en nuestros servicios web]]
<br>

<center>'''<big>[[Archivo:Copyright.png|100px|sinmarco|centro|Copyright]]<font color="Blue">THE FACTORY HKA COLOMBIA</font></big>
<br>Copyright © 2016 The Factory HKA. Todos los derechos reservados.</center>

<br>
{{clear}}

tfhkacolwiki - Contribuciones del usuario [es]

Actualización de Seguridad Requerida Migración a TLS 1.2 o superior en nuestros servicios web

Archivo:Enabled Valor 1.png

Archivo:DWORD (32-bit).png

Archivo:Dos claves más Client y Server.png

Archivo:Nueva clave llamada TLS 1.2.png

Archivo:HKEY LOCAL MACHINE.png

Archivo:Regedit.png

Sección para clientes de Integración