Configurar conjuntos de cifrado obsoletos

Con la versión 4.12, se introducen dos cambios importantes para los protocolos de comunicación segura TLS/DTLS: respaldo para DTLS 1.2 y obsolescencia de los conjuntos de cifrado TLS/DTLS, que no ofrecen confidencialidad directa.

DTLS 1.2 admite el protocolo de transporte UDP, lo que proporciona el equivalente de TLS 1.2 para el protocolo de transporte TCP. Las versiones anteriores de la aplicación Citrix Workspace para Windows ya admitían TLS 1.2.

Los conjuntos de cifrado con el prefijo TLS_RSA_ no ofrecen confidencialidad directa. Por lo general, estos conjuntos de cifrado se consideran obsoletos en el sector de las TIC. Sin embargo, por compatibilidad con versiones anteriores de Citrix Virtual Apps and Desktops, la aplicación Citrix Workspace para Windows aún puede utilizar estos conjuntos de cifrado.

Se ha creado una nueva plantilla administrativa de objeto de directiva de grupo para permitir el uso de los conjuntos de cifrado obsoletos. En Citrix Receiver para Windows 4.12, esta directiva está habilitada de forma predeterminada, pero no se aplica la obsolescencia de estos conjuntos de cifrado mediante los algoritmos AES o 3DES de forma predeterminada. Sin embargo, puede modificar y usar esta directiva para aplicar la obsolescencia más estrictamente.

A continuación, dispone de la lista de conjuntos de cifrado obsoletos:

  1. TLS_RSA_AES256_GCM_SHA384
  2. TLS_RSA_AES128_GCM_SHA256
  3. TLS_RSA_AES256_CBC_SHA256
  4. TLS_RSA_AES256_CBC_SHA
  5. TLS_RSA_AES128_CBC_SHA
  6. TLS_RSA_3DES_CBC_EDE_SHA
  7. TLS_RSA_WITH_RC4_128_MD5
  8. TLS_RSA_WITH_RC4_128_SHA

Nota

Los últimos dos conjuntos de cifrado usan el algoritmo RC4, que está obsoleto porque esos conjuntos de cifrado no son seguros. El conjunto de cifrado TLS_RSA_3DES_CBC_EDE_SHA también se puede considerar obsoleto. Puede usar esta directiva para aplicar todos estos elementos obsoletos.

Para obtener información sobre la configuración de DTLS 1.2, consulte Transporte adaptable en la documentación de Citrix Virtual Apps and Desktops.

Nota

Si actualiza o instala la aplicación Citrix Workspace para Windows por primera vez, agregue los archivos de plantilla más recientes al GPO local. Para obtener más información sobre cómo agregar los archivos de plantilla al GPO local, consulte Configurar la plantilla administrativa de objeto de directiva de grupo. En caso de una actualización, la configuración existente se conserva si se importan los archivos más recientes.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. En el nodo “Configuración del equipo”, vaya a Plantillas administrativas > Componente de Citrix > Citrix Workspace > Enrutamiento de red.
  3. Seleccione la directiva Conjuntos de cifrado obsoletos.
  4. Seleccione Habilitada y elija una de las siguientes opciones:
    1. *TLS_RSA_:** De forma predeterminada, está seleccionado TLS_RSA_*. Debe seleccionar esta opción para poder utilizar los dos conjuntos de cifrado restantes. Cuando selecciona esta opción, se incluyen estos conjuntos de cifrado:
      1. TLS_RSA_AES256_GCM_SHA384
      2. TLS_RSA_AES128_GCM_SHA256
      3. TLS_RSA_AES256_CBC_SHA256
      4. TLS_RSA_AES256_CBC_SHA
      5. TLS_RSA_AES128_CBC_SHA
      6. TLS_RSA_3DES_CBC_EDE_SHA
    2. TLS_RSA_WITH_RC4_128_MD5: Seleccione esta opción para utilizar el conjunto de cifrado RC4-MD5.
    3. TLS_RSA_WITH_RC4_128_SHA: Seleccione esta opción para utilizar el conjunto de cifrado RC4_128_SHA.
  5. Haga clic en Aplicar y, a continuación, en Aceptar.
  6. Ejecute gpupdate /force para que los cambios surtan efecto.

La tabla siguiente muestra los conjuntos de cifrado en cada grupo:

Imagen localizada

Configurar conjuntos de cifrado obsoletos

In this article