Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✔️ Front Door Standard/Premium ✔️ Front Door (clásico) ✔️ CDN Estándar de Microsoft (clásico)
El 1 de abril de 2026, los servicios Azure Front Door (Estándar, Premium y clásico) y Azure CDN de Microsoft (clásico) dejarán de negociar los siguientes conjuntos de cifrado DHE débiles para las conexiones TLS tanto de cliente a servicio como de servicio a origen.
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
¿Quién está afectado?
Se ve afectado si se cumple alguna de las siguientes condiciones:
- Los clientes (exploradores, agentes o dispositivos) deben requerir uno de los conjuntos de cifrado DHE al conectarse al punto de conexión de Front Door/CDN.
- Los orígenes deben requerir uno de los conjuntos de cifrado DHE retirados cuando Front Door/CDN se conecta al origen.
¿Cómo sabré si me he visto afectado?
- Las suscripciones y recursos afectados recibirán notificaciones de estado del servicio de Azure y notificaciones por correo electrónico.
- El segmento de conexión afectado ("cliente al servicio" o "servicio al origen" o ambos) se mencionará en la notificación.
¿Cuál es el impacto si no actúo?
- Las conexiones que solo pueden usar los cifrados DHE retirados producirán un error en el protocolo de enlace TLS (para clientes) o se producirá un error en la negociación de origen del servicio (para orígenes).
- Entre los síntomas típicos se incluyen fallos de protocolo de enlace, errores de cifrado no compartido o no válido en clientes o en registros del servidor de origen.
Acción requerida
- Asegúrese de que los servidores de origen deshabilitan los cifrados DHE y habilitan los conjuntos de cifrado recomendados.
- Informe a los clientes para deshabilitar los cifrados DHE y habilitar los conjuntos de cifrado recomendados.
Conjuntos de cifrado recomendados
Para obtener la mejor compatibilidad y seguridad en los puntos de conexión y orígenes de Azure Front Door o Azure CDN, se recomienda usar los siguientes conjuntos de cifrado:
- TLS_AES_256_GCM_SHA384 (solo TLS 1.3)
- TLS_AES_128_GCM_SHA256 (solo TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Actualización de conjuntos de cifrado para tipos de origen comunes
| Service | Método de configuración |
|---|---|
| Azure App Service | Use la configuración de TLS/SSL para establecer una "versión mínima de TLS" o usar plantillas de ARM para el control de cifrado específico. |
| Puerta de enlace de aplicaciones Azure | Cree una directiva SSL (predefinida o personalizada) para seleccionar conjuntos de cifrado específicos. |
| Azure API Management | Modifique la configuración de la instancia de servicio para deshabilitar cifrados específicos a través de la hoja "Protocolos y cifrados". |
Preguntas más frecuentes
¿Esto afecta tanto a las conexiones de cliente como de origen?
Sí. La retirada se aplica tanto al tramo de cliente a servicio como al tramo de servicio a origen. Actualice ambos lados para evitar problemas.
¿Qué ocurre si todavía necesito compatibilidad de cliente heredada?
Las posibilidades de que un cliente o servidor moderno necesite cifrados TLS_DHE como algo imprescindible son extremadamente bajas, ya que en la mayoría de los casos, estos han sido reemplazados por los más seguros cifrados TLS_ECDHE. Informe a los clientes heredados que admitan TLS 1.2/1.3 con ECDHE. Si opera clientes controlados, actualice su directiva TLS.
¿Debo realizar algún cambio en mis perfiles de Front Door o CDN?
Como medida opcional, para los perfiles de Front Door Standard/Premium, también puede usar la característica Configurar la política de TLS de Azure Front Door para deshabilitar los cifrados DHE antes del 1 de abril de 2026. Esta opción no está disponible para otros niveles.
Para todos los perfiles de Front Door (Estándar, Premium, clásico) y Azure CDN de Microsoft (clásico), el equipo de Microsoft deshabilitará los cifrados DHE después del 1 de abril de 2026.