Deshacerse de las antiguas versiones de TLS en Windows puede ser un fastidio. A veces, modificar el registro no es suficiente, sobre todo si quieres asegurarte de que todo funciona correctamente, como las versiones modernas de TLS 1.2 o 1.3. Si quieres reforzar la seguridad y evitar que los protocolos heredados afecten tu configuración, esta guía te ofrece algunos trucos. Básicamente, aprenderás a deshabilitar TLS 1.0 y 1.1 en todo el sistema, ya sea mediante GPO o editando directamente el registro, y a asegurarte de que tus aplicaciones y navegadores utilicen los protocolos más nuevos y seguros.¿El objetivo? Evitar posibles vulnerabilidades de seguridad causadas por las antiguas versiones de TLS, pero ten en cuenta que, a veces, romper aplicaciones heredadas es una realidad que debes aceptar. Y, sí, reiniciar servicios forma parte del proceso. Porque, claro, Windows tiene que complicarlo más de lo necesario.
Cómo deshabilitar versiones heredadas de TLS en Windows
Método 1: Usar la política de grupo para bloquear protocolos TLS antiguos
Esta es la forma más limpia y centralizada, ideal para entornos de dominio. La idea es configurar la política «Desactivar compatibilidad con cifrado», que básicamente limita las versiones de TLS/SSL disponibles para navegadores y componentes del sistema. Normalmente, esto se aplica a Internet Explorer y algunos componentes de Windows, pero también afecta a otras aplicaciones que dependen de configuraciones WinHTTP o SCHANNEL.
Por qué es útil: Evita que la configuración del usuario vuelva a habilitar versiones antiguas de cifrado, lo que mantiene la seguridad en todos los equipos de un dominio. Cuándo funciona: Tras aplicar la GPO y reiniciar, solo estarán disponibles las versiones de TLS seleccionadas y se deshabilitarán los protocolos antiguos, como TLS 1.0/1.1, siempre que haya marcado esas casillas.
En la práctica: deberá ir a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Internet Explorer > Panel de control de Internet Explorer > Página avanzada en el editor de GPO. A continuación, active la opción «Desactivar compatibilidad con cifrado» y seleccione los protocolos compatibles en el menú desplegable «Combinaciones de protocolos seguros». Esto coincide con el DWORD » SecureProtocols » del registro en HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings.
No olvides que es necesario reiniciar para que las políticas surtan efecto. En algunas configuraciones, los cambios no se aplican de inmediato y, si no reinicias, podrías ver un mensaje de usuario como «Algunas configuraciones son administradas por el administrador del sistema».Además, este método no deshabilita por completo la compatibilidad con TLS 1.0/1.1 en servicios del lado del servidor como IIS o Exchange; eso es otra historia.
Método 2: Ajustes del registro para un control más profundo
Esto es un poco feo, pero más flexible. Se modifican directamente las entradas del registro en [nombre del dominio] HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. Se agregan o modifican claves para deshabilitar versiones específicas de TLS, como TLS 1.0 y TLS 1.1, y habilitar TLS 1.2 explícitamente. Esto proporciona un control más preciso sobre lo que se habilita o deshabilita tanto para clientes como para servidores.
Por qué ayuda: puede deshabilitar TLS 1.0 y 1.1 por completo, incluso en los componentes del servidor, agregando estas claves:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Clients] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Servers] "DisabledByDefault"=dword:00000001 "Enabled"=dword:00000000 Y para TLS 1.2, para habilitarlo a la fuerza, agregaría:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Clients] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Servers] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 Este método es más resistente, pero requiere reiniciar el sistema o el servicio para su aplicación. En algunas máquinas marcadas, podría ser un poco complicado si las políticas de seguridad anulan o bloquean la edición del registro, así que proceda con precaución y pruebe primero.
Método 3: Uso de archivos de registro para la implementación
¿Tienes varias máquinas? En lugar de modificarlas todas, crea un archivo de registro simple con los cambios que quieras e impleméntalo mediante GPO, MDT o SCCM. Guarda los ajustes del registro en un .regarchivo e impórtalo en masa. De esta forma, garantizas la coherencia en todo tu entorno sin tener que modificar cada máquina.
Adicional: Ajuste las aplicaciones y la configuración del sistema para lograr compatibilidad
Aquí es donde la cosa se complica. Aplicaciones como Outlook u otras basadas en WinHTTP podrían seguir usando TLS 1.0/1.1 de forma predeterminada, a menos que le indiques explícitamente a Windows que priorice TLS 1.2. Para ello, modifica claves de registro específicas, como:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319] "SystemDefaultTlsVersions"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001 Lo mismo para WinHTTP, agregue:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "DefaultSecureProtocols"=dword:00000800 Tenga en cuenta: en Windows Server, también puede usar la GUI de IISCrypto para ajustar visualmente la configuración de SCHANNEL (probablemente sea más fácil si editar el registro le da vueltas la cabeza).
Después de todo esto, no olvides reiniciar tu equipo. Los cambios en el registro o en la GPO no surtirán efecto hasta que el sistema se actualice. Y siempre prueba estas configuraciones en un entorno controlado, si es posible, para evitar fallos inesperados.
Resumen
- Deshabilite las versiones antiguas de TLS a través del registro o GPO.
- Asegúrese de que las aplicaciones respeten la nueva configuración modificando sus configuraciones de registro.
- Reiniciar después de realizar cambios, a veces varias veces.
- Realice pruebas exhaustivas antes de implementarlo en su red.
Resumen
Esta no es una solución fácil de usar: deshabilitar TLS 1.0 y 1.1 requiere algo de esfuerzo, pero vale la pena por la seguridad. Los ajustes del registro son los más fiables, sobre todo si quieres asegurarte de que todos tus servicios utilicen los protocolos más recientes y seguros. Recuerda: algunas funciones antiguas pueden fallar, así que es recomendable probarlas primero. Con suerte, esto te ahorrará algunas horas de dolor de cabeza.