Cambios en Windows 11 que afectan a TLS 1.3 y las solicitudes de certificados de cliente
Declaraciones recientes de Matt Hamrick, empleado de Microsoft, destacan ajustes significativos en la implementación de Seguridad de la Capa de Transporte (TLS) 1.3 en Windows 11, en particular en la gestión de las solicitudes de certificados de cliente por parte de Internet Information Services (IIS) e IIS Express. La falta de compatibilidad con el proceso de «renegociación» en TLS 1.3 es un problema central. Microsoft introdujo esta modificación para mejorar la seguridad y la eficiencia, señalando que ayudará a mantener la confidencialidad en la autenticación del cliente, a la vez que minimiza los viajes de ida y vuelta y reduce la sobrecarga de la CPU.
El equilibrio entre seguridad y compatibilidad
Este cambio indica que, si bien Microsoft busca reforzar la seguridad y el rendimiento, como consecuencia de ello han surgido ciertos problemas de compatibilidad, en particular con funcionalidades específicas dentro del sistema operativo.
Comprensión de la renegociación de TLS
Para contextualizar, la renegociación de TLS era una función disponible en TLS 1.2 y protocolos anteriores, que permitía a un servidor iniciar un protocolo de enlace adicional dentro de una sesión ya cifrada para solicitar un certificado de cliente. En Windows, este proceso de renegociación se facilita mediante la pila HTTP (denominada http.sys) y el paquete de seguridad Schannel, que permite a IIS o IIS Express tomar el control solo después de que concluya el protocolo de enlace inicial.
Cambios de comportamiento en las últimas versiones de Windows
En instalaciones con versiones anteriores a Windows 11 24H2 o Windows Server 2022, http.sysse terminaban las conexiones si se necesitaba un certificado de cliente, pero no se incluía en la configuración inicial, especialmente si el cliente no admite la autenticación posterior al protocolo de enlace. Sin embargo, a partir de Windows 11 24H2 y Windows Server 2025, http.sysahora se devuelve un error «no compatible» cuando se solicita un certificado de cliente posterior al protocolo de enlace. Este error provoca que IIS responda con un estado HTTP 500 y el código de error 0x80070032, que indica «ERROR_NOT_SUPPORTED».
Limitaciones de la autenticación posterior al protocolo de enlace
Microsoft ha aclarado que TLS 1.3 prohíbe la renegociación. Si bien el protocolo introduce una alternativa conocida como autenticación de cliente posterior al protocolo de enlace, la mayoría de los usuarios, incluidos los principales navegadores web, aún no la han implementado. Esta limitación implica que los certificados de cliente deben solicitarse durante el proceso de enlace inicial; de lo contrario, no pueden solicitarse posteriormente en la sesión. Debido a la arquitectura de IIS e IIS Express, que funcionan después de http.syscompletar el protocolo de enlace, se requiere una configuración avanzada para garantizar que los certificados de cliente se soliciten desde el principio.
Soluciones futuras y estado actual
A finales de agosto de 2025, Microsoft no había propuesto una solución para IIS Express, lo que llevó a Hamrick a expresar incertidumbre sobre si alguna vez se publicaría una solución. Expresó su indecisión, afirmando: «Sinceramente, no estoy seguro de si habrá una solución ni de cómo será si la hay».
Acerca de los Servicios de Información de Internet (IIS)
Para contextualizar, Internet Information Services es el servidor web robusto y extensible de Microsoft, diseñado para alojar sitios web y aplicaciones en sistemas operativos Windows.IISSe basa en el HTTP.syscontrolador del kernel de Windows para gestionar el cifrado TLS/SSL. Al configurar un enlace HTTPS, IIS lo registra applicationHost.configy lo utiliza HTTP.syspara gestionar la negociación TLS con los clientes, enviando posteriormente las solicitudes HTTP descifradas a IIS para su posterior procesamiento.
¿Qué es IIS Express?
En cambio, IIS Express es una versión ligera e independiente de IIS (a partir de la versión 7), optimizada para fines de desarrollo y pruebas. A diferencia del IIS completo, que requiere el Servicio de Activación de Procesos de Windows (WPA) para administrar aplicaciones web y está diseñado para producción, IIS Express puede funcionar sin privilegios administrativos para diversas funciones y ofrece configuraciones simplificadas.
Para obtener información más detallada, puede acceder a la publicación del blog oficial aquí en la Comunidad tecnológica de Microsoft.
Artículos relacionados:
Windows 11 alcanza un uso récord en Steam
10:01
Explorando la sincronización nativa oculta del portapapeles de Windows 11 para Android y la integración con Gboard
9:33
Análisis a fondo de la Surface Laptop del 50.º aniversario
9:21
Deja una respuesta