Más vale tarde que nunca, pero esto no deja de tener consecuencias. microsoft anunció planes para prohibir las versiones 1.0 y 1.1 de Transport Layer Security (TLS) en Windows. El editor especifica que esta decisión puede tener repercusiones en los servidores SQL basados ​​en este protocolo. Desde hace tiempo se sabe que estas versiones tienen fallas de seguridad y han sido reemplazadas por dos actualizaciones sucesivas 1.2 y 1.3. "En los últimos años, debido a diversos problemas de seguridad, los organismos reguladores y de estándares de Internet han eliminado las versiones 1.0 y 1.1 de TLS", explicó Microsoft en una publicación de blog. “Hemos estado midiendo el uso del protocolo TLS durante varios años y creemos que el uso de TLS 1.0 y TLS 1.1 es lo suficientemente bajo como para tomar esta medida”. La compañía deshabilitará las compilaciones predeterminadas en sus sistemas operativos Windows, a partir de las compilaciones de Windows 11 Insider Preview de septiembre de 2023.

Índice
  1. Vulnerabilidades de seguridad comprobadas
  2. Repercusiones en varias aplicaciones de Microsoft

Vulnerabilidades de seguridad comprobadas

Desde su lanzamiento en 1999, el protocolo TLS 1.0 ha tenido varias debilidades de seguridad, incluida la vulnerabilidad de ataque Padding Oracle on Downgraded Legacy Encryption (POODLE) a SSL 3.0, conjuntos de cifrado más débiles, falta de confidencialidad persistente (secreto directo), funciones hash inadecuadas y autenticaciones limitadas. Una versión posterior (1.1), lanzada en 2006, introdujo algunas mejoras de seguridad, pero no fue adoptada más ampliamente.

Finalmente, estas versiones fueron reemplazadas por las versiones TLS 1.2 (2008) y 1.3 (2018). Sin embargo, la retirada de versiones antiguas no fue fácil para todos los adoptantes debido a ciertas limitaciones, en particular la obligación de mantener la compatibilidad con versiones anteriores. En enero de 2021, la Agencia de Seguridad Nacional (NSA) emitió algunas orientaciones sobre la eliminación de configuraciones TLS obsoletas, y muchos gigantes tecnológicos, incluidos Apple, Google, Mozilla y (ahora) Microsoft, han anunciado planes para abandonar protocolos obsoletos.

Repercusiones en varias aplicaciones de Microsoft

Como Microsoft ha informado a los clientes comerciales, es posible que varias aplicaciones de las que ha proporcionado una lista ya no funcionen después de deshabilitar versiones anteriores de TLS. En la cima de estas aplicaciones amenazadas se encuentra SQL Server. El mal funcionamiento podría afectar las ediciones 2012, 2014 y 2016 de SQL Server. Si bien las versiones 2014 y 2016 todavía son compatibles, este ya no es el caso para la edición 2012, pero se beneficiará de amplias actualizaciones de seguridad. Otras aplicaciones populares en la lista incluyen MS Office 2008 Professional, Safari 5.1.7, EVault Data Protection-7.01.6125 y Xbox One SmartGlass - 2.2.1702.2004.

Microsoft recomendó actualizar las aplicaciones que muestran signos de falla después de deshabilitar ambos TLS. "La mayoría de las versiones nuevas de estas aplicaciones son compatibles con TLS 1.2 o posterior", dijo la compañía. "Por lo tanto, si una aplicación comienza a funcionar mal después de este cambio, lo primero que hay que hacer es buscar una versión más nueva de la aplicación que admita TLS 1.2 o TLS 1.3", aconsejó el proveedor. Finalmente, sigue siendo posible reactivar las versiones 1.0 y 1.1 del protocolo a través de una configuración del registro del sistema en caso de que no haya otra solución para restaurar el funcionamiento de una aplicación.