Actualización para habilitar TLS 1.1 y 1.2 de TLS como protocolos seguros de forma predeterminada de WinHTTP en Windows

Se aplica a: Windows Server 2012 DatacenterWindows Server 2012 StandardWindows Server 2012 Essentials Más

Esta actualización proporciona compatibilidad para la seguridad de la capa de transporte (TLS) 1.1 y 1.2 de TLS en Windows Server 2012, Service Pack 1 (SP1) de Windows 7 y Windows Server 2008 R2 SP1.

Acerca de esta actualización


Aplicaciones y servicios que se escriben utilizando WinHTTP para conexiones de Secure Sockets Layer (SSL) que se utiliza el indicador WINHTTP_OPTION_SECURE_PROTOCOLS no pueden utilizar los protocolos TLS 1.1 o 1.2 de TLS. Esto es porque la definición de este indicador no incluye estas aplicaciones y servicios.

Esta actualización agrega compatibilidad para la entrada de registro DefaultSecureProtocols que permite que el administrador del sistema especificar qué protocolos SSL deben utilizarse cuando se utiliza el indicador WINHTTP_OPTION_SECURE_PROTOCOLS.

Esto puede permitir que determinadas aplicaciones que se crearon para utilizar la marca predeterminada de WinHTTP para poder aprovechar el más reciente 1.2 TLS o protocolos TLS 1.1 forma nativa sin necesidad de actualizaciones de la aplicación.

Éste es el caso de algunas aplicaciones de Microsoft Office cuando abren documentos de una biblioteca de SharePoint o una carpeta Web, túneles de IP-HTTPS para conectividad de DirectAccess y otras aplicaciones mediante tecnologías como WebClient mediante WebDav, WinRM, y otros usuarios.

Esta actualización requiere que el componente de canal seguro (Schannel) en Windows 7 estén configurados para admitir TLS 1.1 y 1.2. Como estas versiones del protocolo no están habilitadas de forma predeterminada en Windows 7, debe configurar la configuración del registro para asegurarse de que las aplicaciones de Office correctamente pueden utilizar TLS 1.1 y 1.2.

Esta actualización no cambiará el comportamiento de las aplicaciones que está configurando manualmente los protocolos seguros en lugar de pasar la marca predeterminada.

Cómo obtener esta actualización


Importante Si instala un paquete de idioma una vez instalada esta actualización, debe volver a instalarla. Por lo tanto, le recomendamos que instale los paquetes de idioma que necesite antes de instalar esta actualización. Para obtener más información, consulte Agregar paquetes de idioma para Windows.

Método 1: Windows Update

Esta actualización se proporciona como una actualización recomendada en Windows Update. Para obtener más información acerca de cómo ejecutar Windows Update, consulte Cómo obtener una actualización a través de Windows Update.

Método 2: Catálogo de Microsoft Update

Para obtener el paquete independiente de esta actualización, vaya al sitio web del Catálogo de Microsoft Update.

Actualizar la información detallada

Requisitos previos

Para aplicar esta actualización, debe instalar el Service Pack 1 para Windows 7 o Windows Server 2008 R2.

No hay ningún requisito previo para aplicar esta actualización en Windows Server 2012.

Información de Registro

Para aplicar esta actualización, debe agregar la subclave del registro DefaultSecureProtocols.Nota: Para ello, puede agregar manualmente la subclave del registro o instale la "solución fácil" para llenar la subclave del registro.

Requisito de reinicio

Quizás tenga que reiniciar el equipo una vez aplicada esta actualización.

Información de reemplazo de la actualización

Esta actualización no reemplaza ninguna actualización publicada anteriormente.

Más información


Payment Card Industry (PCI) se requiere TLS 1.1 o 1.2 de TLS para el cumplimiento de normas.

Para obtener más información acerca de la marca WINHTTP_OPTION_SECURE_PROTOCOLS, consulte Indicadores de opción.

Cómo funciona la entrada de registro DefaultSecureProtocols

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, vea cómo hacer copia de seguridad y restaurar el registro de Windows.

Cuando una aplicación especifica WINHTTP_OPTION_SECURE_PROTOCOLS, el sistema busca la entrada de registro DefaultSecureProtocols y si está presente, reemplazar los protocolos predeterminados especificados por WINHTTP_OPTION_SECURE_PROTOCOLS con los protocolos especificados en la entrada del registro. Si la entrada del registro no está presente, WinHTTP utilizará los valores predeterminados de sistema operativo existente para ganar WINHTTP_OPTION_SECURE_PROTOCOLS HTTP. Estos valores predeterminados de WinHTTP siguen las reglas de precedencia existentes y se anulan por protocolos SCHANNEL deshabilitado y protocolos se establecen por aplicación por WinHttpSetOption.

Nota: El programa de instalación no agrega el valor de DefaultSecureProtocols. El administrador debe agregar manualmente la entrada después de determinar los protocolos de reemplazo. O bien, puede instalar la "solución fácil" para agregar la entrada automáticamente.

Puede agregar la entrada del registro DefaultSecureProtocols en la siguiente ruta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

En equipos basados en x64, DefaultSecureProtocols también debe agregarse a la ruta Wow6432Node:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

El valor del registro es un mapa de bits DWORD. El valor a utilizar se determina agregando los valores correspondientes a los protocolos que desea.

Valor DefaultSecureProtocols Protocolo está habilitado
0x00000008 Habilite SSL 2.0 por defecto
0x00000020 Activar SSL 3.0 por defecto
0x00000080 Habilitar TLS 1.0 predeterminada
0x00000200 Habilitar TLS 1.1 predeterminada
0x00000800 Habilitar TLS 1.2 de manera predeterminada

Por ejemplo:

El administrador desea reemplazar los valores predeterminados de WINHTTP_OPTION_SECURE_PROTOCOLS especificar TLS 1.1 y 1.2 de TLS.

Tomar el valor de TLS 1.1 (0 x 00000200) y el valor de TLS 1.2 (0x00000800), agregarlos juntos en la Calculadora (en modo de programador) y el valor del registro resultante sería 0x00000A00.

Solución fácil

Para agregar la subclave del registro DefaultSecureProtocols automáticamente, haga clic en el botón Descargar . En el cuadro de diálogo Descarga de archivos , haga clic en Abriro Ejecutar y, a continuación, siga los pasos en el Asistente para la solución fácil.

Notas

  • Este asistente podría estar solo en inglés. Sin embargo, la solución automática también funciona con versiones de Windows en otros idiomas.
  • Si no está en el equipo que tiene el problema, guarde la solución solución fácil a un CD o una unidad flash y, a continuación, ejecútelo en el equipo que tiene el problema.

Nota: Además de la subclave del registro DefaultSecureProtocols, la solución fácil agrega también la SecureProtocols en la siguiente ubicación para ayudar a habilitar TLS 1.1 y 1.2 para Internet Explorer.

Se agregará la entrada de registro de SecureProtocols que tiene el valor 0xA80 para habilitar TLS 1.1 y 1.2 en las siguientes rutas:

Configuración de HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Habilitar TLS 1.1 y 1.2 en Windows 7 en el nivel de componente de SChannel

Por el artículo configuración de TLS SSL, TLS 1.1 y 1.2 estén habilitados y negocia en Windows 7, debe crear la entrada "DisabledByDefault" en la subclave apropiada (cliente) y establézcalo en "0". Estas subclaves no se creará en el registro, ya que estos protocolos están deshabilitados de forma predeterminada.

Crear las subclaves necesarias para TLS 1.1 y 1.2; Cree los valores DWORD DisabledByDefault y establézcalo en 0 en las siguientes ubicaciones:

Para que TLS 1.1

Ubicación del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ClientNombre DWORD: DisabledByDefaultValor DWORD: 0

Para que TLS 1.2

Ubicación del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\ClientNombre DWORD: DisabledByDefaultValor DWORD: 0

Información de archivo


Con la versión en inglés (Estados Unidos) de esta actualización de software, se instalan archivos que cuentan con los atributos que se incluyen en las siguientes tablas.

Referencias


Obtenga información sobre la terminología que usa Microsoft para describir las actualizaciones de software.