Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✔️ Front Door Standard ✔️ Front Door Premium
Azure Front Door admite el cifrado TLS de un extremo a otro. Al agregar un dominio personalizado a Azure Front Door, se requiere HTTPS y debe definir una directiva TLS que incluya el control de la versión del protocolo TLS y los conjuntos de cifrado durante un protocolo de enlace TLS.
Azure Front Door admite dos versiones del protocolo TLS: las versiones 1.2 y 1.3 de TLS. Actualmente, Azure Front Door no admite la autenticación mutua o cliente (mTLS).
Azure Front Door Standard y Premium ofrecen dos mecanismos para controlar la directiva TLS. Puede usar una directiva predefinida o una directiva personalizada según sus propias necesidades. Si usa Azure Front Door (clásico) y Microsoft CDN (clásico), seguirá usando la versión mínima de TLS 1.2.
- Azure Front Door ofrece varias directivas TLS predefinidas. Puede configurar el AFD con cualquiera de estas directivas para obtener el nivel de seguridad adecuado. Estas directivas predefinidas se configuran teniendo en cuenta los procedimientos recomendados y las recomendaciones del equipo de seguridad de Microsoft. Se recomienda usar las directivas TLS más recientes para garantizar la máxima seguridad TLS.
- Si es necesario configurar una directiva TLS para sus propios requisitos empresariales y de seguridad, puede usar una directiva TLS personalizada. Con una directiva TLS personalizada, tiene control total sobre la versión mínima del protocolo TLS que admite y los conjuntos de cifrado admitidos.
Para una versión mínima de TLS 1.2, la negociación intentará establecer TLS 1.3 y, a continuación, TLS 1.2. El cliente debe admitir al menos uno de los cifrados admitidos para establecer una conexión HTTPS con Azure Front Door. Azure Front Door elige un cifrado en el orden enumerado de los cifrados admitidos por el cliente.
Cuando Azure Front Door inicia el tráfico TLS hacia el origen, intentará negociar la mejor versión de TLS que el origen pueda aceptar de forma fiable y coherente. Las versiones de TLS admitidas para las conexiones de origen son TLS 1.2 y TLS 1.3.
Nota:
Los clientes con TLS 1.3 habilitados son necesarios para admitir una de las curvas EC compatibles con SDL de Microsoft, incluidas Secp384r1, Secp256r1 y Secp521, con el fin de realizar correctamente solicitudes con Azure Front Door mediante TLS 1.3. Se recomienda que los clientes usen una de estas curvas como su curva preferida durante las solicitudes para evitar un aumento de la latencia del protocolo de enlace TLS, lo que podría ocurrir como consecuencia de los varios recorridos de ida y vuelta para negociar la curva EC admitida.
Directiva TLS predefinida
Azure Front Door ofrece varias directivas TLS predefinidas. Puede configurar el AFD con cualquiera de estas directivas para obtener el nivel de seguridad adecuado. Los nombres de directiva se anotan mediante las versiones mínimas de TLS y el año en el que se configuraron (TLSv1.2_2023>). Cada directiva ofrece diferentes versiones de protocolos TLS y conjuntos de cifrado. Estas directivas predefinidas se configuran teniendo en cuenta los procedimientos recomendados y las recomendaciones del equipo de seguridad de Microsoft. Se recomienda usar las directivas TLS más recientes para garantizar la máxima seguridad TLS.
En la tabla siguiente se muestra la lista de conjuntos de cifrado y la compatibilidad con la versión mínima del protocolo en cada directiva predefinida. El orden de los conjuntos de cifrado determina el orden de prioridad durante la negociación TLS.
De forma predeterminada, se seleccionará TLSv1.2_2023. TLSv1.2_2022 corresponde a la versión mínima de TLS 1.2 en el diseño anterior.
| OpenSSL | CifradoConjunto de aplicaciones | TLSv1.2_2023 | TLSv1.2_2022 |
|---|---|---|---|
| Versión mínima del protocolo | 1.2 | 1.2 | |
| Protocolos admitidos | 1.3/1.2 | 1.3./1.2 | |
| TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | Sí | Sí |
| TLS_AES_128_GCM_SHA256 | TLS_AES_128_GCM_SHA256 | Sí | Sí |
| ECDHE-RSA-AES256-GCM-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | Sí | Sí |
| ECDHE-RSA-AES128-GCM-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | Sí | Sí |
| ECDHE-RSA-AES256-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | Sí | |
| ECDHE-RSA-AES128-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | Sí |
Directiva TLS personalizada
Si una directiva TLS se debe configurar de acuerdo con sus requisitos, debe definir su propia directiva TLS personalizada. Con una directiva TLS personalizada, tiene control total sobre la versión mínima del protocolo TLS que admite y los conjuntos de cifrado admitidos y su orden de prioridad.
Nota:
TLS 1.3 siempre está habilitado, independientemente de la versión mínima habilitada.
Conjuntos de cifrado
Azure Front Door admite los siguientes conjuntos de cifrado desde los que puede elegir la directiva personalizada. El orden de los conjuntos de cifrado determina el orden de prioridad durante la negociación TLS.
- TLS_AES_256_GCM_SHA384 (solo TLS 1.3)
- TLS_AES_128_GCM_SHA256 (solo TLS 1.3)
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Nota:
Para Windows 10 y versiones posteriores, se recomienda habilitar uno o ambos conjuntos de cifrado ECDHE_GCM para mejorar la seguridad. Windows 8.1, 8 y 7 no son compatibles con estos conjuntos de cifrado ECDHE_GCM. Los conjuntos de cifrado ECDHE_CBC se han proporcionado por compatibilidad con esos sistemas operativos.