Introducción sobre TLS en Azure App Service

¿Qué hace TLS en App Service?

La seguridad de la capa de transporte (TLS) es un protocolo de seguridad ampliamente adoptado diseñado para proteger las conexiones y comunicaciones entre servidores y clientes. App Service permite a los clientes usar certificados TLS/SSL para proteger las solicitudes entrantes en sus aplicaciones web. App Service admite actualmente diferentes conjuntos de características de TLS para que los clientes protejan sus aplicaciones web.

¿Se admite la versión de TLS en App Service?

Para las solicitudes entrantes a la aplicación web, App Service admite las versiones 1.0, 1.1, 1.2 y 1.3 de TLS.

Establecimiento de la versión mínima de TLS

Siga estos pasos para cambiar la versión mínima de TLS del recurso de App Service:

1. Busque su aplicación en Azure Portal.
2. En el menú de la izquierda, seleccione Configuración y, luego, elija la pestaña Configuración general.
3. En la versión mínima de TLS de entrada, en la lista desplegable, seleccione la versión deseada.
4. Seleccione Guardar para guardar los cambios.

Versión mínima de TLS con Azure Policy

Puede usar Azure Policy para ayudar a auditar los recursos en lo que respecta a la versión mínima de TLS. Puede consultar Las aplicaciones de App Service deben usar la definición de directiva de versión de TLS más reciente y cambiar los valores a la versión mínima de TLS deseada. Para obtener definiciones de directiva similares para otros recursos de App Service, consulte Lista de definiciones de directivas integradas: Azure Policy para App Service.

Versión de TLS mínima y versión de TLS mínima para SCM

App Service también permite establecer la versión mínima de TLS para las solicitudes entrantes en la aplicación web y en el sitio de SCM. De forma predeterminada, la versión mínima de TLS para las solicitudes entrantes en la aplicación web y en SCM se establecería en 1.2 tanto en el portal como en la API.

TLS 1.3

Hay disponible una opción Conjunto mínimo de cifrado TLS con TLS 1.3. Esto incluye dos conjuntos de cifrado en la parte superior del orden del conjunto de cifrado:

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

TLS 1.0 y 1.1

TLS 1.0 y 1.1 se consideran protocolos heredados y ya no se consideran versiones seguras. Por lo general, se recomienda que los clientes usen TLS 1.2 o superior como versión mínima de TLS. Al crear una aplicación web, la versión de TLS mínima predeterminada sería TLS 1.2.

Para garantizar la compatibilidad de TLS 1.0 y TLS 1.1 con versiones anteriores, App Service seguirá admitiendo TLS 1.0 y 1.1 para las solicitudes entrantes en la aplicación web. Sin embargo, dado que la versión mínima predeterminada de TLS se establece en TLS 1.2, debe actualizar la configuración de la versión mínima de TLS en la aplicación web a TLS 1.0 o 1.1 para que las solicitudes no se rechacen.

Conjunto mínimo de cifrado TLS (versión preliminar)

El conjunto mínimo de cifrado TLS incluye una lista fija de conjuntos de cifrado con un orden de prioridad óptimo que no se puede cambiar. No se recomienda reordenar o modificar los conjuntos de cifrado, ya que podría exponer las aplicaciones web a un cifrado más débil. Tampoco puede agregar conjuntos de cifrado nuevos o diferentes a esta lista. Al seleccionar un conjunto mínimo de cifrado, el sistema deshabilita de forma automática todos los conjuntos de cifrado menos seguros para la aplicación web, sin permitir deshabilitar de forma selectiva solo algunos conjuntos de cifrado más débiles.

¿Qué son los conjuntos de cifrado y cómo funcionan en App Service?

Un conjunto de cifrado es un conjunto de instrucciones que contiene algoritmos y protocolos para ayudar a proteger las conexiones de red entre clientes y servidores. De forma predeterminada, el sistema operativo del front-end selecciona el conjunto de cifrado más seguro que es compatible con App Service y el cliente. Sin embargo, si el cliente solo admite conjuntos de cifrado débiles, el sistema operativo del front-end acaba seleccionando un conjunto de cifrado débil compatible con ambos. Si su organización tiene restricciones sobre los conjuntos de cifrado que no se deben permitir, puede actualizar la propiedad mínima del conjunto de cifrado TLS de la aplicación web para asegurarse de que los conjuntos de cifrado débiles se deshabilitarán para su aplicación web.

App Service Environment (ASE) V3 con opción de clúster FrontEndSSLCipherSuiteOrder

Para los App Service Environment con opción de clúster FrontEndSSLCipherSuiteOrder, debe actualizar la configuración para incluir dos conjuntos de cifrado TLS 1.3 (TLS_AES_256_GCM_SHA384 y TLS_AES_128_GCM_SHA256). Una vez la haya actualizado, reinicie el front-end para que el cambio se aplique. Todavía debe incluir los dos conjuntos de cifrado que son necesarios, como se mencionó en la documentación.

Cifrado TLS de un extremo a otro (versión preliminar)

El cifrado TLS de un extremo a otro (E2E) está disponible en los planes estándar de App Service y posteriores. Ahora se puede cifrar el tráfico de front-end dentro del clúster entre el front-end de App Service y los procesos de trabajo que ejecutan cargas de trabajo de la aplicación.

Pasos siguientes

• Protección de un nombre DNS personalizado con un enlace TLS/SSL