Microsoft ha marcado la fecha de jubilación oficial para los protocolos inseguros de seguridad. En esta ocasión los afectados son la capa de transporte (TLS) 1.0 y 1.1 en Microsoft 365 a partir del 15 de octubre de 2020. Después de haber detenido temporalmente la aplicación debido a COVID-19.
El lento final de TLS 1.0 y 1.1
«A medida que las empresas han pivotado sus cadenas de suministro y los países han comenzado a reabrir, hemos restablecido una fecha de jubilación para TLS 1.0 y 1.1 en Office 365 para que sea el 15 de octubre de 2020», dijo la compañía en el anuncio del centro de administración MC218794 Microsoft 365 el viernes.
«Como se comunicó anteriormente [..], estamos moviendo todos nuestros servicios en línea a Transport Layer Security (TLS) 1.2+ para proporcionar el mejor cifrado de su clase y para garantizar que nuestro servicio sea más seguro de forma predeterminada.»
La jubilación tls 1.0/1.1 se anunció por primera vez en diciembre de 2017 y, como explica Microsoft, se espera que el efecto de este cambio para los usuarios finales sea mínimo. Los administradores IT pueden usar la documentación oficial KB4057306 para prepararse para TLS 1.2 en Microsoft 365 y Microsoft 365 GCC.
También pueden descargar este informe de desuso de TLS de Office 365 para identificar rápidamente los usuarios y dispositivos que se conectan a los servidores de Exchange a través de TLS 1.0/1.1.
Por el momento, se recomienda a los usuarios de los siguientes clientes que actualicen a las versiones más recientes, ya que se sabe que no pueden utilizar TLS 1.2:
• Android 4.3 y versiones anteriores
• Firefox versión 5.0 y versiones anteriores
• Internet Explorer 8-10 en Windows 7 y versiones anteriores
• Internet Explorer 10 en Windows Phone 8
• Safari 6.0.4/OS X10.8.4 y versiones anteriores
Microsoft también proporciona un documento técnico con instrucciones sobre cómo identificar y quitar dependencias de TLS 1.0 en software creado sobre sistemas operativos de Microsoft como punto de partida para un plan de migración a un entorno TLS 1.2+. Como parte de cualquier plan de desuso de TLS 1.0/1.1, Microsoft recomienda incluir lo siguiente:
• Análisis de código de aplicación para encontrar/arreglar instancias codificadas de TLS 1.0/1.1.
• Análisis de punto final de red y análisis de tráfico para identificar sistemas operativos mediante protocolos TLS 1.0/1.1 o versiones anteriores.
• Pruebas de regresión completa a través de toda la pila de aplicaciones con TLS 1.0/1.1 y todos los protocolos de seguridad anteriores deshabilitados.
• Migración de sistemas operativos heredados y bibliotecas/frameworks de desarrollo a versiones capaces de negociar TLS 1.2.
• Pruebas de compatibilidad en todos los sistemas operativos utilizados por su empresa para identificar cualquier problema de compatibilidad con TLS 1.2.
• Coordinación con sus propios socios comerciales y clientes para notificarles de su mudanza a TLS 1.0/1.1.
• Comprender qué clientes pueden romperse deshabilitando TLS 1.0/1.1.
Microsoft ya ha comenzado a dejar de usar TLS inseguro para cualquier cliente, dispositivo o servicio que se conecte a Office 365 a través de TLS 1.0 o 1.1 DoD o GCC High instancias a partir de enero de 2020.
Los dos protocolos también se volverán no compatibles con los clientes comerciales de Office 365, y la empresa recomienda «que todas las combinaciones cliente-servidor y explorador-servidor usen TLS 1.2 (o una versión posterior) con el fin de mantener la conexión con los servicios de Office 365.»
TLS fuera del navegador
En septiembre de 2019, Microsoft anunció que Windows Server 2019 permite a los administradores bloquear las versiones de TLS débiles que se usen con certificados individuales a través de una nueva característica «Deshabilitar TLS heredado» para facilitar la migración a TLS 1.2+.
La compañía también dijo en marzo que la retirada de TLS 1.0/1.1 en los navegadores de Microsoft se pospondría hasta julio para Edge basado en Chromium y el 8 de septiembre para las versiones compatibles de Internet Explorer 11 y Microsoft Edge Legacy.
La retirada de estos protocolos TLS inseguros fue anunciada por todos los principales fabricantes de navegadores, incluyendo Microsoft, Google, Apple y Mozilla en octubre de 2018.
Aunque los usuarios todavía podrán volver a habilitar TLS 1.0/1.1 en sus navegadores después de estar deshabilitados de forma predeterminada, Microsoft aconseja no hacerlo, ya que las versiones TLS más recientes vienen con criptografía más moderna y son ampliamente compatibles con los navegadores web modernos.
Con más del 97,5% de todos los sitios encuestados por Qualys SSL Labs con soporte TLS 1.2 o TLS 1.3, la decisión de los proveedores de navegadores de deshabilitar TLS 1.0/1.1 en favor de los protocolos más nuevos es un movimiento racional, ya que pueden proporcionar un camino más seguro en el futuro.
Netcraft también dijo en marzo que los protocolos TLS 1.0/1.1 inseguros todavía están en uso en más de 850.000 sitios web, exponiendo a sus visitantes a una amplia gama de ataques criptográficos (1, 2) que podrían permitir a los actores de amenazas descifrar su tráfico web.
