Buscar en el Foro: 
Julio 23, 2019, 11:08:23 pm

Noticias:

Para hacer tu consulta: debes registrarte y hacer un nuevo tema en la sección que consideres más adecuada. Ver: Acerca de este Foro.


Recientes

Actualización a TLS 1.2 posibles implicaciones

Iniciado por randall.castro, Marzo 22, 2018, 03:06:26 pm

Tema anterior - Siguiente tema

randall.castro

Buenas buenas, "gentes y gentecillas"

La cosa es que en el trabajo me están dejando a cargo de gestionar la actualización del protocolo TLS en uno de los servidores.
El asunto es que en ese servidor se encuentran publicados varios webservices, sockets, sitios web y servicios algunos utilizan el protocolo TLS y otros pues no.

He estado leyendo bastante sobre como realizarlo lo cual es en apariencia sencillo pero no logro encontrar que cuidados o implicaciones pueda tener con respecto a los demás aplicativos instalados en el servidor.

La pregunta concisa, Alguno le ha tocado realizar esta actualización o ha leido algo sobre esto y que me pueda orientar mejor?

Gracias de antemano.


koda

Tuanis Randall, no soy muy experto con estos temas, pero te dejo algunas ideas de cosas que deberias tomar en cuenta.

Lo primero es que TLS tiene que ser soportado tanto por el SO como por los servicios, así que tienes que hacerlo de manera granular.

Lo primero que deberían hacer es ver si el SO que corre en ese servidor soporta TLS 1.2 y cuales de todos esos servicios que necesitan TLS 1.2 lo soportan, es muy probable que van a aparecer servicios que no lo hagan, esto podria necesitar que 1) actualizar software 2) tocar codigo para lograr ese soporte 3) ver que diablos hacer porque no hay manera simple de pasar a 1.2 con simples retoques.

Si necesitan que sea a fuerza TLS 1.2 y no se soporten conexiones con TLS 1.1 o anteriores en esos servicios ASEGURENSE que no se permita el downgrade a 1.1 cuando las conexiones se negocien, por defecto generalmente este downgrade se permite. Esto podria hacer que algunas cosas no funquen, logico, si entran conexiones de clientes que no soportan 1.2 no se van a poder conectar, asi que tengan todo eso en cuenta para servicios que si van a necesitar dar soporte a TLS 1.1 o anteriores. ESTO POR SERVICIO.

Al final de cuentas, esto es una madre de prueba y error, a veces por cosas estupidas nada sirve, asi que como siempre, todo pruebenlo en un entorno aislado, ya cuando vean que todo esta good, pasenlo.

Saludos.

randall.castro

Gracias Koda por las recomendaciones.

De momento para la certificación se realizará una clonación del server para realizar pruebas.

Ahí les cuento si algo importante sucede.

Saludos.


Redes Sociales - Sovrn

Apoyar con una donación

Buscar en el Foro: