Actualización de terminales para admitir TLS 1.2 para Umbrella Services
Contenido
Introducción
Este documento describe cómo preparar terminales y aplicaciones para los servicios de Umbrella que requieren TLS 1.2.
TLS 1.2 Descripción general de requisitos
A partir del 31 de marzo de 2020, los servicios y servidores Umbrella ya no admiten la seguridad de la capa de transporte (TLS) 1.0 y 1.1. Todos los terminales deben admitir TLS 1.2 para funcionar correctamente con Umbrella.
Actualizaciones del soporte de TLS 1.0/1.1
- A excepción de AnyConnect, Umbrella Roaming Client y AD Connector, Umbrella finalizó el soporte para TLS 1.0/1.1 en marzo de 2020.
- Debido a las dependencias del back-end, ciertos servicios de panel y API continuaron aceptando las conexiones TLS 1.0/1.1 hasta el 27 de enero de 2021. Después de esta fecha, estos servicios ya no aceptan las conexiones TLS 1.0/1.1.
- Los dispositivos que no pueden acceder al panel o a las API deben ser verificados para obtener soporte para TLS 1.2.
Protección para dispositivos cliente AnyConnect o de roaming
Umbrella extendió el plazo hasta el 27 de enero de 2021 para completar la actualización a TLS 1.2. No existen más extensiones. Los dispositivos AnyConnect y clientes de roaming que no cumplan los requisitos de TLS 1.2 después del 27 de enero de 2021 ya no reciben protección de Umbrella.
Compatibilidad con gateway web seguro
- Umbrella no admite tráfico HTTPS que utilice TLS 1.0 o 1.1 en el producto Secure Gateway.
- Antes del 27 de enero de 2021, el gateway web seguro ofrecía una compatibilidad limitada para estos protocolos solo cuando el descifrado HTTPS estaba desactivado.
- Configure todos los sistemas operativos cliente para soportar TLS 1.2.
- Actualice o modifique las aplicaciones que no sean del navegador según sea necesario para garantizar la compatibilidad con TLS 1.2. Póngase en contacto con los proveedores de aplicaciones para obtener orientación.
Requisitos del conector de Umbrella Active Directory
Umbrella no admite conectores de Active Directory implementados en sistemas operativos Windows que hayan alcanzado el final de su vida útil. Los conectores de AD que se ejecutan en versiones de Windows no compatibles (Windows Server 2008, 2008 R2 o Windows 7) dejan de sincronizarse con Umbrella y entran en estado de error el 27 de enero de 2021.
Agentes generales: Requisitos de versión mínimos
Cliente de roaming de Windows o módulo AnyConnect
- Cliente de roaming de Cisco Umbrella: Versión 2.2.356 o posterior
- Módulo de roaming de Cisco AnyConnect con Umbrella: Versión 4.8.02042 o posterior
- Para utilizar una versión de cliente anterior, configure TLS 1.2 a través de los cambios del Registro de Windows (vea los pasos a continuación).
- Microsoft .NET Framework: Versión 4.6.2 o posterior, o una versión de Windows 7 con .NET 3.5.1 corregida
(AnyConnect requiere .NET 4.x o posterior) - Versiones compatibles de Windows: 7, 8, 8.1, 10
Módulo AnyConnect o cliente de roaming de macOS
- Cualquier versión del módulo de roaming de Umbrella Roaming Client o AnyConnect es compatible con TLS 1.2
- Versión de macOS compatible: 10.9 o posterior
Preguntas frecuentes adicionales
¿Qué ocurre si los terminales no se actualizan antes de la fecha límite?
Los terminales que no pueden negociar una conexión TLS 1.2 no pueden acceder a los sistemas Umbrella, incluidos el panel, los servicios de proxy inteligentes y las páginas de bloqueo.
En el caso de los clientes que ejecutan el módulo de roaming de Umbrella en AnyConnect, el cliente de roaming empresarial de Umbrella o el conector de Umbrella AD, el cliente no puede conectarse a ningún servicio de Umbrella. Esto hace que el cliente no sincronice la configuración y el estado con el panel de Umbrella.
Los clientes de roaming existentes dejan de activarse y permanecen desprotegidos en el siguiente inicio del servicio. Los clientes nuevos que no admiten TLS 1.2 no pueden registrarse con Umbrella. Estos clientes no se abren; DNS continúa resolviéndose a través de la pila de red local, pero los servicios de seguridad de cliente de itinerancia no se activan.
Los dispositivos que intentan acceder a los sitios bloqueados o a los enrutados a través del proxy inteligente no pueden conectarse. Los dispositivos que utilizan el cliente de roaming no pueden acceder a los sitios web de Umbrella, páginas de bloqueo ni servicios de proxy.
¿Funciona la clave del Registro para versiones anteriores?
Sí, para AnyConnect. Continúe utilizando versiones anteriores después de aplicar la edición del registro para preferir strongcrypto. Antes de las versiones mínimas enumeradas, el cliente de roaming iniciaba conexiones HTTPS sin especificar explícitamente el cifrado fuerte de TLS 1.2. Si .NET admite TLS 1.2, lo utilizará de forma predeterminada. Las claves del Registro obligan a .NET a utilizar strongcrypto, replicando las actualizaciones en nuevas versiones de cliente. No se admiten clientes de itinerancia independientes con una antigüedad superior a la de la versión más reciente.
¿Puedo probar TLS 1.2 solamente?
Yes. Inhabilite TLS 1.0 y TLS 1.1 en el Registro de Windows para validar que los dispositivos funcionen completamente usando solo TLS 1.2.
¿Por qué invalidar TLS 1.0 y 1.1?
TLS 1.0 y 1.1 están obsoletos y no admiten algoritmos criptográficos modernos. Contienen vulnerabilidades que los atacantes pueden aprovechar. El Grupo de Trabajo de Ingeniería de Internet está desaprobando ambos protocolos. La mayoría del tráfico de Internet cifrado utiliza TLS 1.2, que se introdujo hace más de diez años.
¿Por qué se seleccionó el 31 de marzo de 2020?
El sector está desaprobando TLS 1.0 y 1.1 en este período. Google, Microsoft, Apple y Mozilla han anunciado que sus navegadores ya no admiten TLS 1.0 y 1.1 a partir de marzo de 2020.
¿Esto puede afectar a los usuarios con dispositivos actualizados?
No. La mayoría de los sitios web admiten TLS 1.2. Según Qualys SSL Labs, el 95,2% de los sitios web admiten TLS 1.2. Se espera que este número aumente a medida que se aproxime marzo de 2020. Un pequeño número de sitios web no puede funcionar, pero el impacto general en el usuario es mínimo. Asegúrese de que los dispositivos actualizados incluyen la versión correcta de .NET para equipos con Windows.
Después de actualizar un terminal para TLS 1.2, ¿se requiere alguna acción adicional para volver a habilitar la compatibilidad con Umbrella?
En la mayoría de los casos, no se requiere ninguna otra acción. El cliente restablece la comunicación con los sistemas Umbrella mediante el protocolo seguro TLS 1.2. Para el cliente de roaming de Umbrella Enterprise o el cliente de roaming de Umbrella para AnyConnect, puede haber un retraso en la restauración si el sistema estaba desconectado durante una actualización de software del cliente. El cliente necesita descargar las actualizaciones antes de que el servicio se restaure por completo.
¿Cómo puedo confirmar la compatibilidad de terminales con TLS 1.2?
-
Compatibilidad con explorador web de Windows
- Acceda al panel de Umbrella y a los sitios web relacionados.
- Ejecute la prueba SSL Labs Browser. Confirme que aparezca un "Sí" junto a TLS 1.2 en la sección Protocolos.
-
Compatibilidad con Windows .NET Framework
- Se aplica a Enterprise Roaming Client, AnyConnect Roaming Module o AD Connector.
- .NET 4.6.2 o posterior proporciona compatibilidad nativa con TLS 1.2.
- Las versiones anteriores requieren modificaciones del Registro (4.x) o modificaciones del Registro y revisiones manuales (3.5).
- Esta información se aplica al software Umbrella que se ejecuta en .NET Framework, incluidos AD Connector y Roaming Client.
- Deshabilite SSL, TLS 1.0 y TLS 1.1 en el nivel de sistema operativo completando las instrucciones proporcionadas por Microsoft.
blobid0.png
-
Para Apple Mac y otros sistemas
- Realice la Prueba del Navegador de SSL Labs. Confirme que aparezca un "Sí" junto a TLS 1.2 en la sección Protocolos.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
04-Sep-2025
|
Versión inicial |
Comentarios