Prepara el entorno de red para cumplir con requisitos de seguridad más estrictos
Los sistemas operativos de Apple exigirán una seguridad de red más estricta para los procesos dela sistema. Comprueba si las conexiones a servidores cumplen con los nuevos requisitos.
Este artículo está dirigido a administradores de TI y desarrolladores de servicios de administración de dispositivos.
A partir de la próxima versión importante de software, los sistemas operativos de Apple (iOS, iPadOS, macOS, watchOS, tvOS y visionOS) podrían rechazar las conexiones a servidores con configuraciones TLS obsoletas o que no cumplan con los requisitos, debido a nuevos requisitos de seguridad de red.
Debes revisar el entorno para identificar los servidores que no cumplen con estos requisitos. Actualizar las configuraciones de los servidores para cumplir con estos requisitos podría llevar mucho tiempo, especialmente en el caso de los servidores que administran proveedores externos.
Conexiones afectadas y requisitos de configuración
Los nuevos requisitos se aplican a las conexiones de red directamente involucradas en las siguientes actividades:
Administración de dispositivos móviles (MDM)
Administración declarativa de dispositivos (DDM)
Inscripción automática de dispositivos
Instalación de perfiles de configuración
Instalación de apps, incluida la distribución de apps empresariales
Actualizaciones de software
Excepciones: Las conexiones de red a un servidor SCEP (al instalar un perfil de configuración o al resolver un recurso de DDM) y servidores de almacenamiento en caché de contenido (incluso al solicitar recursos relacionados con la instalación de apps o las actualizaciones de software) no se ven afectadas.
Requisitos: los servidores deben ser compatibles con TLS 1.2 o una versión posterior, utilizar conjuntos de cifrado compatibles con ATS y presentar certificados válidos que cumplan con los estándares de ATS. Para conocer todos los requisitos de seguridad de red, consulta la documentación para desarrolladores:
Revisa el entorno en busca de conexiones que no cumplan con los requisitos
Usa dispositivos de prueba para identificar las conexiones a servidores del entorno que no cumplan con los nuevos requisitos de TLS.
Planifica la cobertura de pruebas
Es posible que diferentes configuraciones de dispositivos se conecten a diferentes servidores. Para asegurarte de que la revisión tenga una cobertura completa, prueba todas las configuraciones que se apliquen al entorno.
Entorno: producción, preparación, pruebas
Tipo de dispositivo: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Función: grupo de usuarios (ventas, ingeniería, contabilidad), dispositivo de quiosco, dispositivo compartido
Tipo de inscripción: inscripción automática de dispositivos, inscripción basada en cuentas, inscripción de dispositivos basada en perfiles, iPad compartido
Repite los siguientes pasos de revisión para cada configuración que se conecte a diferentes servidores.
Instala el perfil de registro de diagnóstico de red
Descarga e instala el perfil de registro de diagnóstico de red en un dispositivo de prueba representativo con iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 o visionOS 26.4, o versiones posteriores, para activar el registro. Después de instalar el perfil, reinicia el dispositivo de prueba.
Para asegurarte de que los eventos de registro contengan los detalles necesarios para identificar las conexiones que no cumplen con los requisitos, debes instalar este perfil antes de realizar cualquier prueba. Si vas a probar la inscripción automática de dispositivos en un iPhone o un iPad, usa Apple Configurator para Mac para instalar el perfil antes de que el dispositivo llegue al panel Administración de dispositivos del Asistente de Configuración.
Ejecuta los flujos de trabajo habituales
Usa el dispositivo de prueba tal y como lo harías normalmente en el entorno. Inscríbelo en la administración de dispositivos, instala apps y perfiles, y lleva a cabo cualquier otro flujo de trabajo que se conecte a los servidores de tu organización.
El objetivo es generar tráfico de red para todos los servidores que puedan verse afectados por los nuevos requisitos de TLS.
Recopila un sysdiagnose
Después de ejecutar los flujos de trabajo, recopila un sysdiagnose del dispositivo de prueba. Este archivo de diagnóstico contiene los eventos de registro necesarios para identificar las conexiones que no cumplen con los requisitos.
Instrucciones específicas para cada dispositivo sobre cómo recopilar un sysdiagnose
Revisa los registros
Transfiere el sysdiagnose a una Mac y descomprime el archivo .tar.gz. En Terminal, ve al directorio principal dentro del sysdiagnose descomprimido y filtra los eventos de registro relevantes con este comando:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Cada evento de registro incluye tres datos clave:
Dominio: el dominio del servidor para este evento de conexión.
Proceso: el proceso que estableció la conexión, lo cual te ayuda a determinar el propósito de la conexión de red con ese dominio.
Advertencia: la restricción que violó la conexión y en qué sentido el servidor no cumple con los requisitos (una sola conexión puede generar varias advertencias si el servidor no cumple con varios requisitos).
Interpretación de los registros de advertencia
En los siguientes mensajes de registro, se indica que hay servidores que no cumplen con los nuevos requisitos de TLS. Las violaciones se clasifican como violaciones generales de la política de ATS (“Warning [ATS Violation]”) o como violaciones específicas de la norma FCP v2.1 (“Warning [ATS FCPv2.1 violation]”).
Si estos registros son generados por un proceso que se conecta a un servidor específico de tu empresa, esos servidores deben actualizarse para cumplir con los nuevos requisitos.
Mensaje de registro | Significado | Solución |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | El servidor negoció un conjunto de cifrado que no es PFS y que no se ofrece cuando el cliente activa ATS. | Los servidores deben ser compatibles con conjuntos de cifrado PFS (cualquier conjunto de cifrado TLS 1.3 y los conjuntos de cifrado TLS 1.2 con ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | El servidor negoció una versión de TLS anterior a TLS 1.2. Las versiones TLS 1.0 y 1.1 son obsoletas y ya no se ofrecen de forma predeterminada. | Actualizar los servidores para que negocien TLS 1.3 siempre que sea posible (como mínimo, TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | El certificado del servidor no superó la evaluación de confianza predeterminada del servidor porque no cumplía con los requisitos mínimos descritos aquí. | Actualizar el certificado del servidor para que cumpla con estos requisitos. Si el certificado se encuentra en los certificados de anclaje del perfil de inscripción automática, no se requiere ninguna solución. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | El certificado del servidor se firmó con una clave RSA de menos de 2048 bits. | Actualizar el certificado del servidor para que cumpla con estos requisitos. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | El certificado del servidor se firmó con una clave ECDSA de menos de 256 bits. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | El certificado del servidor no utilizaba un algoritmo hash seguro 2 (SHA-2) con una longitud de resumen de al menos 256 bits. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Se utilizó HTTP sin formato en lugar de HTTPS. | Actualizar el servidor para que admita HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | El servidor eligió rsa_pkcs15_sha1 como algoritmo de firma. | Actualizar la configuración para priorizar los algoritmos de firma modernos. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | El certificado del servidor se firmó utilizando un algoritmo de firma que no se indica en el ClientHello. | Actualizar el certificado del servidor para que se firme utilizando un algoritmo de firma que tenga un código TLS y que no sea rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | El servidor negoció TLS 1.2 y no negoció la extensión de secreto maestro extendido (EMS). | Actualizar los servidores para usar TLS 1.3 o, como mínimo, actualizar su configuración de TLS 1.2 para negociar EMS. |
Valida servidores individuales
Una vez identificados los servidores que no cumplen con los requisitos en la revisión, puedes probarlos individualmente para verificar violaciones específicas o confirmar que la solución se ha llevado a cabo correctamente.
Ejecuta el siguiente comando: reemplaza “https://example.com:8000” por tu servidor o punto de conexión.
nscurl --ats-diagnostics https://example.com:8000/
Este comando comprueba si el servidor cumple con los requisitos para diversas combinaciones de políticas de ATS. Busca el resultado de la prueba utilizando ATS con el modo FCP_v2.1 activado:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result: PASS
---
Si el resultado es “PASS”, el servidor cumple con todos los requisitos.
Obtén más información sobre cómo identificar el origen de las conexiones bloqueadas
Solución
Colabora con los propietarios de los servidores afectados para actualizar sus configuraciones TLS. Los propietarios de los servidores pueden ser internos, del servicio de administración de dispositivos o proveedores externos.
Cuando te comuniques con el propietario de un servidor para solicitar una solución, comparte este artículo y los mensajes de advertencia específicos que hayas observado.
La solución podría incluir lo siguiente:
Actualizar los servidores para que sean compatibles con TLS 1.2 o una versión posterior (se recomienda TLS 1.3).
Los servidores que solo son compatibles con TLS 1.2 deben admitir, como mínimo, algoritmos de intercambio de claves que ofrezcan confidencialidad directa perfecta (ECDHE), conjuntos de cifrado AEAD basados en AES-GCM con SHA-256, SHA-384 o SHA-512, y la extensión de secreto maestro extendido (RFC 7627).
Actualizar los certificados para que cumplan con los requisitos de ATS en cuanto al tamaño de la clave, el algoritmo de firma y la validez.
Otros recursos
Obtén ayuda en relación con la seguridad de las plataformas de Apple
Comunícate con tu Customer Success Manager o con el Soporte técnico para empresas de AppleCare para obtener más ayuda.