Seguridad de servidores: cómo desactivar TLS 1.0 y 1.1 (obsoletos) para proteger los datos

Seguridad de servidores: cómo desactivar TLS 1.0 y 1.1 (obsoletos) para proteger los datos

Introducción

El protocolo TLS (Transport Layer Security) es la base de la seguridad de los datos en Internet. Sin embargo, las versiones antiguas TLS 1.0 y TLS 1.1 ya no cumplen con los requisitos de seguridad modernos, por lo que desactivarlas es un paso necesario para proteger los servidores. En este artículo examinamos la historia de estos protocolos, sus vulnerabilidades y ofrecemos instrucciones paso a paso para desactivarlos en plataformas de servidor populares.

Historia del protocolo TLS

El protocolo TLS se creó a partir de SSL (Secure Sockets Layer), que apareció en 1995. Tras descubrirse vulnerabilidades en SSL, se desarrolló TLS 1.0, publicado en 1999. A pesar de las mejoras, TLS 1.0 también resultó vulnerable a ataques, lo que llevó al desarrollo de TLS 1.1, TLS 1.2 y TLS 1.3. Hoy se recomienda usar solo TLS 1.2 y versiones superiores.

Vulnerabilidades de TLS 1.0 y TLS 1.1

Con el tiempo se han identificado las siguientes vulnerabilidades en TLS 1.0 y TLS 1.1:

  • Vulnerabilidad BEAST: permite a atacantes descifrar datos transmitidos a través de TLS 1.0.
  • Vulnerabilidad POODLE: un ataque similar al de SSL 3.0 que también es aplicable a TLS 1.0.
  • Algoritmos de cifrado débiles: el soporte de cifrados obsoletos hace que estas versiones de TLS sean menos seguras.
  • Ataques sobre funciones de hash: uso de algoritmos de hashing inseguros.

Estándares actuales: TLS 1.2 y TLS 1.3

Las versiones modernas del protocolo, como TLS 1.2 y TLS 1.3, ofrecen un nivel de seguridad y rendimiento superior. Soportan cifrados resistentes a ataques, están optimizadas para el establecimiento rápido de la conexión y simplifican la configuración de seguridad.

Cómo desactivar TLS 1.0 y TLS 1.1 en plataformas de servidor principales

1. Apache

Para desactivar TLS 1.0 y TLS 1.1 en un servidor Apache, edite el archivo de configuración (normalmente ssl.conf o httpd.conf):

SSLProtocol -all +TLSv1.2 +TLSv1.3

Reinicie el servidor Apache:

sudo systemctl restart apache2

2. Nginx

Para Nginx, cambie la configuración en el archivo nginx.conf:

ssl_protocols TLSv1.2 TLSv1.3;

Reinicie Nginx:

sudo systemctl restart nginx

3. IIS (Windows Server)

Para desactivar TLS 1.0 y TLS 1.1 en un servidor IIS:

  1. Abra el editor del registro (Regedit).
  2. Vaya a la clave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols.
  3. Cree las subclaves TLS 1.0Server y TLS 1.1Server.
  4. En cada subclave cree un valor DWORD con el nombre Enabled y el valor 0.

Reinicie el servidor.

4. OpenSSL

Si su servidor usa OpenSSL, asegúrese de que la configuración openssl.cnf contenga las siguientes líneas:

[system_default_sect]
MinProtocol = TLSv1.2

Conclusión

Desactivar TLS 1.0 y TLS 1.1 es un paso importante para mejorar la seguridad de su servidor. Las versiones modernas de TLS ofrecen una protección de datos más fiable, por lo que son preferibles para su uso en aplicaciones web actuales. Siga las recomendaciones para desactivar las versiones obsoletas del protocolo en sus plataformas de servidor y así protegerse usted y a sus usuarios frente a posibles amenazas.

Alt text
article-title

Hacker