Recientemente, el Blog de seguridad de Google anunció que la seguridad de la capa de transporte (TLS) se aplica a más del 96% de todo el tráfico que reciben los navegadores Chrome que usan el Sistema operativo Chrome. Esta entrada de blog también destacó un objetivo significativo: habilitar TLS de forma predeterminada para nuestros productos y servicios de Google, y garantizar que TLS funcione de manera instantánea.
Dado que Gmail ya admite TLS, si la conexión de correo electrónico del Protocolo para transferencia simple de correo (SMTP) se puede proteger con TLS, se le aplicará esa protección. Sin embargo, para lograr que más organizaciones refuercen la seguridad de su correo electrónico y fomentar el objetivo de habilitar TLS de forma predeterminada, realizamos los siguientes cambios:
- Ahora TLS estará habilitada de forma predeterminada para las conexiones de correo electrónico.
- Los administradores ahora pueden probar la configuración de TLS de las rutas salientes de SMTP en la Consola de Administración antes de la implementación. Esto significa que ya no tienen que esperar a que los mensajes reboten.
Si bien los administradores siempre tuvieron la opción de exigir la encriptación de TLS para las rutas de correo electrónico, esa opción antes estaba desactivada de forma predeterminada. Tenga en cuenta que las rutas de correo electrónico existentes no se verán afectadas por estos cambios.
¿A quiénes afectará el cambio?
A los administradores
¿Por qué es importante?
Siempre recomendamos que los administradores habiliten las funciones existentes de seguridad del correo electrónico, incluidos SPF, DKIM y DMARC, para proteger a los usuarios finales. También recomendamos que los administradores activen MTA Strict Transport Security (MTA-STS) para mejorar la seguridad de Gmail, ya que este protocolo exige controles de autenticación y la encriptación del correo electrónico que se envía a sus dominios. La habilitación predeterminada de TLS en las nuevas rutas de correo electrónico de SMTP mejora la estrategia de seguridad de nuestros clientes. Por otro lado, si los administradores pueden probar las conexiones antes de aplicar TLS de manera forzosa en las rutas existentes, podrán implementar las políticas de seguridad recomendadas con mayor facilidad.
Este cambio no afectará las rutas de correo electrónico que se hayan creado anteriormente.
Detalles adicionales
Habilitación predeterminada de TLS en las nuevas rutas de correo electrónico
Si TLS está habilitada de forma predeterminada para las nuevas rutas de correo electrónico, también estarán habilitados de este modo todos los requisitos de validación de certificados. Esto garantiza que los hosts de los destinatarios tengan un certificado que esté emitido para el host adecuado y firmado por una autoridad certificada (CA) de confianza. Consulte debajo para conocer más detalles sobre cómo cambiaremos los requisitos para las CA de confianza.
Los administradores aún podrán personalizar su configuración de seguridad de TLS en las nuevas rutas de correo electrónico que se creen. Por ejemplo, si el correo electrónico se reenvía a servidores de correo locales o de terceros por medio de Certificados de CA internos, es posible que los administradores deban inhabilitar la validación de los Certificados de CA. No es recomendable que inhabilite la validación de los Certificados de CA ni que inhabilite TLS por completo. Les sugerimos a los administradores que, antes de inhabilitar las validaciones recomendadas, prueben su configuración de TLS de SMTP en la Consola de Administración a fin de validar la conexión TLS a los servidores de correo electrónico externos. Consulte más detalles sobre cómo probar las conexiones TLS en la Consola de Administración.
Desconfianza de Gmail en las autoridades certificadas
Anteriormente, el Blog de seguridad de Google destacó ciertos casos en los que Chrome ya no confía en los Certificados raíz de CA que se usan para interceptar el tráfico en el Internet público y otros casos en los que Chrome desconfía de ciertas CA.
Si se producen estas situaciones en el futuro, Gmail también desconfiará de estos certificados. Cuando esto sucede, si ya no se confía en la CA, es posible que reboten los correos electrónicos que se envían por medio de rutas que requieren TLS con la aplicación forzosa de los certificados firmados por CA. Si bien la lista de los certificados raíz en los que confía Gmail se puede recuperar del repositorio de servicios de confianza de Google, les recomendamos a los administradores que usen la función «Probar la conexión TLS» en la Consola de Administración a fin de confirmar si no se confía en los certificados.
Función «Probar la conexión TLS» en la Consola de Administración
Los administradores ahora pueden usar la nueva función «Probar la conexión TLS» para verificar si una ruta de correo electrónico puede establecer correctamente una conexión TLS con una validación completa a cualquier destino, como un servidor de correo electrónico local o una retransmisión de correo de terceros, antes de aplicar TLS de manera forzosa para ese destino.
¿Cómo comenzar?
Administradores:
Configuración de TLS
TLS estará ACTIVADA de forma predeterminada para todas las rutas de correo electrónico nuevas. Les recomendamos a los administradores que revisen todas sus rutas existentes y que, además, habiliten todas las opciones de seguridad de TLS recomendadas para esas rutas.
Prueba de las conexiones TLS
Los administradores que quieran exigir una conexión TLS segura para los correos electrónicos ahora podrán verificar que la conexión al servidor de correo electrónico del destinatario sea válida. Para ello, simplemente deberán hacer clic en el botón «Probar la conexión TLS» en la Consola de Administración. Ya no es necesario que esperen a que los correos electrónicos reboten.
Visite el Centro de ayuda para obtener más información sobre cómo exigir que el correo electrónico se transmita por medio de una conexión (TLS) segura y cómo agregar rutas de correo electrónico.
Cuando cree un nuevo parámetro de configuración de cumplimiento de TLS, ahora todas las validaciones de certificados estarán habilitadas de forma predeterminada. |
Cuando cree una nueva ruta de correo electrónico, ahora TLS y todas las validaciones de certificados estarán habilitadas de forma predeterminada. |
Usuarios finales: No hay ningún parámetro de configuración para los usuarios finales en relación con estas funciones.
Ritmo de lanzamiento
- Dominios del lanzamiento rápido y programado: Lanzamiento extendido (posiblemente más de 15 días para la visibilidad de la función) a partir del 2 de abril de 2020
Disponibilidad
- Disponible para todos los clientes de G Suite