Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
A partir del 28 de julio de 2025, los cambios en certificados administrados de App Service (ASMC) afectarán a cómo se emiten y renuevan los certificados en determinados escenarios. Aunque la mayoría de los clientes no necesitan tomar medidas, se recomienda revisar nuestra entrada de blog detallada de ASMC para obtener más información.
Seguridad de la capa de transporte (TLS) es un protocolo de seguridad ampliamente adoptado diseñado para proteger las conexiones y las comunicaciones entre servidores y clientes. En Azure App Service, puede usar certificados TLS y Secure Sockets Layer (SSL) para ayudar a proteger solicitudes entrantes en aplicaciones web.
App Service admite TLS para garantizar lo siguiente:
- Cifrado de datos en tránsito.
- Autenticación de aplicaciones web a través de certificados de confianza.
- Prevención de alteraciones de los datos durante la transmisión.
Sugerencia
También puede formular estas preguntas a Azure Copilot :
- ¿Qué versiones de TLS se admiten en App Service?
- ¿Cuáles son las ventajas de usar TLS 1.3 en lugar de versiones anteriores?
- ¿Cómo puedo cambiar el orden del conjunto de cifrado de mi App Service Environment?
En el encabezado de página de Azure Portal, seleccione Copilot.
Compatibilidad con la versión de TLS
App Service admite las siguientes versiones de TLS para las solicitudes entrantes a la aplicación web:
- TLS 1.3. La versión más reciente y segura, ahora totalmente compatible.
- TLS 1.2. La versión mínima predeterminada de TLS para las nuevas aplicaciones web.
- TLS 1.1 y TLS 1.0. Versiones compatibles con versiones anteriores, pero no recomendadas.
Puede configurar la versión mínima de TLS para las solicitudes entrantes a la aplicación web y su sitio del Administrador de control de código fuente (SCM). De forma predeterminada, el mínimo se establece en TLS 1.2.
Azure Policy puede ayudarle a auditar los recursos y la versión mínima de TLS. Vaya a las aplicaciones de App Service deben usar la definición de la política de la versión TLS más reciente y cambie los valores a la versión mínima de TLS que prefiera para sus aplicaciones web. Para obtener información sobre las definiciones de directivas relacionadas para otros recursos de App Service, consulte Lista de definiciones de directivas integradas: Azure Policy para App Service.
TLS 1.3
TLS 1.3 es totalmente compatible con App Service y presenta varias mejoras en TLS 1.2:
- Mayor seguridad, con conjuntos de cifrado simplificados y confidencialidad hacia delante.
- Protocolos de enlace más rápidos para reducir la latencia.
- Mensajes de protocolo de enlace cifrados para mejorar la privacidad.
Para requerir TLS 1.3 para todas las solicitudes entrantes, establezca Versión mínima de TLS entrante en TLS 1.3 en Azure Portal, la CLI de Azure o la plantilla de Azure Resource Manager (plantilla de ARM).
TLS 1.3 admite los siguientes conjuntos de cifrado, que son fijos y no se pueden personalizar:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Estos conjuntos proporcionan cifrado seguro y se usan automáticamente cuando se negocia TLS 1.3.
TLS 1.2
TLS 1.2 es la versión predeterminada de TLS para App Service. Proporciona un cifrado seguro y una amplia compatibilidad y cumple los estándares de cumplimiento, como el estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS). De forma predeterminada, las nuevas aplicaciones web y los puntos de conexión SCM usan TLS 1.2 a menos que los cambie.
App Service usa un conjunto seguro de conjuntos de cifrado TLS 1.2 para ayudar a garantizar conexiones cifradas y a protegerse frente a vulnerabilidades conocidas. Aunque puede habilitar TLS 1.1 y TLS 1.0 para la compatibilidad con versiones anteriores, se recomienda usar TLS 1.2 o posterior.
TLS 1.1 y TLS 1.0
TLS 1.1 y TLS 1.0 son protocolos heredados y ya no se consideran seguros. Estas versiones solo se admiten en App Service por compatibilidad con versiones anteriores y deben evitarse siempre que sea posible. La versión mínima predeterminada de TLS para las nuevas aplicaciones es TLS 1.2 y se recomienda migrar aplicaciones que usan TLS 1.1 o TLS 1.0.
Importante
Las solicitudes entrantes a las aplicaciones web y las solicitudes entrantes a Azure se controlan de forma diferente. App Service sigue admitiendo TLS 1.1 y TLS 1.0 para las solicitudes entrantes a las aplicaciones web.
En el caso de las solicitudes entrantes realizadas directamente en el plano de control de Azure, por ejemplo, a través de Azure Resource Manager o llamadas API, no se recomienda usar TLS 1.1 o TLS 1.0.
Conjunto mínimo de cifrado TLS
Nota:
La configuración Conjunto mínimo de cifrado TLS se admite en las SKU básicas o posteriores en App Service multiinquilino.
El conjunto de cifrado TLS mínimo incluye una lista fija de conjuntos de cifrado que tienen un orden de prioridad óptimo que no se puede cambiar. No se recomienda reordenar ni volver a escribir los conjuntos de cifrado, ya que hacerlo podría habilitar el cifrado más débil en las aplicaciones web. Tampoco puede agregar nuevos o diferentes conjuntos de cifrado a esta lista. Al seleccionar un conjunto de cifrado mínimo, el sistema bloquea automáticamente todos los conjuntos de cifrado menos seguros para la aplicación web. No se pueden bloquear selectivamente solo algunos conjuntos de cifrado más débiles.
¿Qué son los conjuntos de cifrado y cómo funcionan en App Service?
Un conjunto de cifrado es un conjunto de instrucciones que contiene algoritmos y protocolos para ayudar a proteger las conexiones de red entre clientes y servidores. De forma predeterminada, el sistema operativo front-end elige el conjunto de cifrado más seguro que tanto App Service como el cliente admiten. Sin embargo, si el cliente solo admite conjuntos de cifrado débiles, el sistema operativo front-end elige un conjunto de cifrado débil. Si su organización restringe los conjuntos de cifrado permitidos, puede actualizar la propiedad mínima del conjunto de cifrado TLS de la aplicación web para asegurarse de que los conjuntos de cifrado débiles están bloqueados para la aplicación web.
App Service Environment con la configuración del clúster FrontEndSSLCipherSuiteOrder
Para entornos de App Service que tienen configurada la configuración del FrontEndSSLCipherSuiteOrder clúster, actualice la configuración para incluir los dos conjuntos de cifrado TLS 1.3:
TLS_AES_256_GCM_SHA384TLS_AES_128_GCM_SHA256
Después de actualizar la configuración del clúster, debe reiniciar el front-end para que los cambios surtan efecto. Además, debe incluir los dos conjuntos de cifrado necesarios descritos anteriormente, incluso cuando actualice la configuración para admitir TLS 1.3. Si ya usa FrontEndSSLCipherSuiteOrder, no se recomienda que también habilite el conjunto de cifrado TLS mínimo para la aplicación web. El resultado podrían ser configuraciones en conflicto. Configure solo una de estas opciones para administrar las preferencias del conjunto de cifrado.
Cifrado TLS de un extremo a otro
El cifrado TLS de un extremo a otro (E2E) garantiza que la comunicación de front-end al proceso de trabajo dentro de App Service se cifre a través de TLS. Sin esta característica, aunque las solicitudes HTTPS entrantes se cifran en los servidores front-end, el tráfico de front-end a los trabajos que ejecutan las cargas de trabajo de la aplicación viaja sin cifrar dentro de la infraestructura de Azure.
E2E TLS ayuda a garantizar el cifrado completo del tráfico entre:
- Clientes y frontend de App Service.
- Front-ends y procesos de trabajo de App Service que hospedan la aplicación.
Esta característica está disponible en:
- Planes premium de App Service (recomendados para nuevas implementaciones).
- Planes de App Service estándar heredados (implementaciones existentes).
Importante
Los planes Premium se recomiendan para las nuevas implementaciones que requieren cifrado E2E y otras características de seguridad avanzadas.
Habilitación del cifrado TLS de un extremo a otro
Puede habilitar el cifrado TLS de E2E a través de:
- Configuración de Azure Portal.
- Comandos de la CLI de Azure.
- Plantillas de ARM para la automatización.
Después de habilitar el cifrado TLS E2E, todas las comunicaciones dentro del clúster de la aplicación web se cifran a través de TLS, lo que garantiza la protección de datos de un extremo a otro.
Certificados TLS/SSL en App Service
Para atender el tráfico HTTPS, App Service requiere un certificado TLS/SSL enlazado al dominio personalizado. App Service ofrece varias opciones de certificado, que van desde certificados gratuitos totalmente administrados hasta certificados administrados por el cliente.
Tipos de certificados
Certificados administrados de App Service (gratis)
- Proporcionado sin costo alguno.
- Totalmente administrado por App Service, incluida la renovación automática.
- No puede acceder, exportar ni usar estos certificados fuera de App Service.
- No se admite el carácter comodín ni las CA raíz personalizadas.
Certificados de App Service (ASC)
- Certificados de pago emitidos por GoDaddy.
- Posee y administra el certificado.
- Almacenado en el almacén de claves. Se puede exportar y usar fuera de App Service.
Traiga su propio certificado (BYOC)
- Cargue y administre sus propios certificados TLS/SSL (formato PFX).
- Totalmente administrado por el cliente.
Cada una de estas opciones proporciona flexibilidad para satisfacer sus necesidades de seguridad y administración.
Enlace de certificados a dominios personalizados
Después de cargar o crear un certificado, lo enlaza a un dominio personalizado en la aplicación web mediante:
- Enlaces SSL de SNI (indicación de nombre de servidor) para hospedaje multiinquilino.
- Enlaces SSL de IP para direcciones IP dedicadas.
Nota:
Los dominios administrados por Azure (como *.azurewebsites.net) se protegen automáticamente con certificados predeterminados, por lo que no se requiere ninguna configuración adicional.
Autenticación Mutua TLS (mTLS)
App Service admite TLS mutua (mTLS) en los planes de Linux y Windows App Service, por lo que las aplicaciones pueden requerir certificados de cliente para mayor seguridad.
Funcionamiento de mTLS
- Los clientes presentan certificados que se validan frente a una cadena de autoridades de certificación (CA) de confianza que usted configure.
- Solo los clientes que tienen certificados válidos pueden conectarse.
- Normalmente se usa para proteger las API y las aplicaciones internas.
Opciones de configuración
- Habilite mTLS mediante Azure Portal, la CLI de Azure o las plantillas de ARM.
- Cargue certificados de CA de confianza para la validación del cliente.
- Acceda a la información del certificado del cliente en el código de la aplicación a través de los encabezados de la solicitud.
Administración automática de certificados
App Service proporciona características integradas para administrar certificados automáticamente:
Certificados administrados (gratis) de App Service. Emitido y renovado automáticamente para dominios personalizados. Estos certificados están limitados a la validación básica de dominio y no admiten certificados comodín ni exportables.
Certificados de App Service (de pago). Certificados totalmente administrados que admiten escenarios avanzados, incluidos dominios comodín y certificados exportables. Estos certificados se almacenan y administran en Azure Key Vault.
App Service facilita la protección de las aplicaciones web mediante TLS y SSL. Con compatibilidad con versiones modernas de TLS, opciones de certificado flexibles y características avanzadas como TLS mutua, App Service le ayuda a proteger los datos en tránsito y a cumplir los requisitos de cumplimiento.