[06/09/2023] Microsoft ha decidido desautorizar las versiones 1.0 y 1.1 de Transport Layer Security (TLS) en el sistema operativo Windows en un intento de aumentar la seguridad de sus clientes y fomentar la adopción de protocolos modernos. La empresa ha advertido de que esta medida podría afectar a los servidores SQL de las empresas que aún utilizan las versiones anteriores de TLS.
Hace tiempo que se determinó que estas versiones de TLS presentaban deficiencias de seguridad y fueron sustituidas por dos actualizaciones sucesivas, las versiones 1.2 y 1.3.
"En los últimos años, los organismos reguladores y de normalización de Internet han dejado obsoletas las versiones 1.0 y 1.1 de TLS debido a diversos problemas de seguridad", explicó Microsoft en un blog. "Llevamos varios años haciendo un seguimiento del uso del protocolo TLS y creemos que los datos de uso de TLS 1.0 y TLS 1.1 son lo suficientemente bajos como para actuar".
La compañía desactivará las versiones por defecto en sus sistemas operativos Windows, a partir de Windows 11 Insider Preview builds en septiembre del 2023.
TLS heredado tenía fallas de seguridad
Desde su lanzamiento en 1999, se ha descubierto que TLS 1.0 tenía varias fallas de seguridad, como la vulnerabilidad al ataque POODLE, conjuntos de cifrado más débiles, falta de secreto hacia delante, funciones hash inadecuadas y autenticaciones limitadas.
Una versión posterior (1.1) publicada en el 2006 introdujo algunas mejoras de seguridad, pero no logró una adopción más amplia. Finalmente, fueron sustituidas por las versiones TLS 1.2 (2008) y 1.3 (2018).
Sin embargo, la retirada de las versiones heredadas no fue fácil para todos los adoptantes, ya que presentaba algunos retos, entre ellos el requisito de mantener la compatibilidad con versiones anteriores.
En enero del 2021, la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) publicó directrices para eliminar las configuraciones TLS obsoletas, y muchos gigantes tecnológicos, como Apple, Google, Mozilla y (ahora) Microsoft, han anunciado planes para abandonar los protocolos obsoletos.
Varias aplicaciones de Microsoft están a punto de romperse
Microsoft ha advertido a los usuarios empresariales de una lista de aplicaciones que pueden romperse cuando se desactiven las versiones antiguas de TLS. Encabezando la lista de aplicaciones en peligro se encuentra SQL Server.
Se espera que las ediciones 2012, 2014 y 2016 de SQL Server se rompan. Mientras que tanto 2014 como 2016 aún permanecen en soporte, 2012 está fuera de soporte, pero recibirá actualizaciones de seguridad extendidas.
Otras aplicaciones populares listadas en la zona roja por la compañía incluyen MS Office 2008 Professional, Safari 5.1.7, EVault Data Protection-7.01.6125, y Xbox One SmartGlass - 2.2.1702.2004.
Microsoft ha aconsejado actualizar las aplicaciones que muestren indicios de falla tras el cambio. "La mayoría de las versiones más recientes de las aplicaciones soportan TLS 1.2 o versiones superiores del protocolo", dijo Microsoft. "Por lo tanto, si una aplicación empieza a fallar después de este cambio, el primer paso es buscar una versión más reciente de la aplicación que tenga soporte TLS 1.2 o TLS 1.3".
Las versiones de protocolo descatalogadas pueden volver a activarse con una configuración del registro del sistema en caso de que una falla de la aplicación no tenga otra alternativa y necesite utilizar TLS 1.0 o TLS 1.1.
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú