¿Cómo cifra Atlas mis datos?
Atlas utiliza cifrado de volumen completo (disco) para cualquier dato en reposo, incluyendo tus datos de clúster y las copias de seguridad de esos datos.
Atlas también requiere Cifrado TLS para datos de clientes y comunicaciones en la red de clúster.
Si tu organización requiere información más específica sobre el cifrado de Atlas, ponte en contacto con Atlas Soporte de MongoDB:
En Atlas, ve a Support página.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
Haga clic en el icono Support en la barra de navegación.
Haga clic en View plan.
Aparece la página de soporte.
¿Puedo desactivar TLS en mi implementación?
No.
¿Qué versiones de TLS admite Atlas?
Atlas requiere conexiones TLS para todos los clústeres de Atlas. A partir de julio de 2020, Atlas activó de forma predeterminada la versión 1.2 del Protocolo de seguridad de capa de transporte (TLS) para todos los nuevos clústeres de Atlas, independientemente de la versión de MongoDB.
MongoDB 7.0 y versiones posteriores deshabilitaron la compatibilidad con TLS 1.0 donde TLS 1.1+ está disponible. Puede configurar manualmente TLS. 1 1 1o.0 mediante editando tu configuración de clúster.
Importante
A partir del 31 de julio de 2025, Atlas dejará de brindar soporte para TLS 1.0 o 1.1 en toda circunstancia. Atlas actualizará todos los clústeres para rechazar los intentos de conexión con TLS 1.0 o 1.1.
Cualquier conexión de cliente configurada para TLS 1.0 o 1.1 sufrirá una interrupción del servicio durante esta actualización. Para evitar esto, se debe establecer la versión mínima de TLS de los clústeres en 1.2 lo antes posible.
Puede leer más sobre el cronograma y los motivos del cambio en la industria de tarjetas de pago (PCI) así como en el Instituto Nacional de Estándares y Tecnología (NIST).
Si tiene preguntas sobre la compatibilidad con TLS o no puede actualizar sus aplicaciones para que admitan TLS, 1.2 comuníquese con el soporte de Atlas MongoDB.
Para abrir un ticket de soporte de Atlas:
En Atlas, diríjase a la página Support.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
Haga clic en el icono Support en la barra de navegación.
Haga clic en View plan.
Aparece la página de soporte.
¿Cómo sé si mis aplicaciones admiten TLS 1.2?
Las aplicaciones cuyos lenguajes de programación subyacentes o bibliotecas de seguridad sean anteriores a TLS 1.2 pueden requerir una actualización a una versión más reciente para soportar TLS 1.2. También puede ser necesario actualizar el sistema operativo host de la aplicación para admitir TLS 1.2.
MongoDB y Atlas no proporcionan servicios para auditar aplicaciones externas sobre los tipos de soporte TLS que estos proporcionan. Servicios de terceros, como howsmyssl.com pueden proporcionar la herramienta adecuada. MongoDB no respalda este servicio, y su mención es solo informativa. Usa los procedimientos de tu organización para seleccionar el proveedor o servicio para auditar tus aplicaciones.
¿Qué debo hacer para actualizar mis clústeres para TLS 1.2?
Auditar tus aplicaciones para el soporte de TLS 1.2.
Actualiza todos los componentes de tu pila tecnológica que no admitan TLS 1.2.
Modifique la configuración de su clúster para utilizar TLS 1.2.
¿Puedo forzar la activación de TLS 1.0?
Atlas permite configurar manualmente TLS 1.0 durante la modificación del clúster.
La habilitación de TLS 1.0 para cualquier clúster de Atlas conlleva riesgos considerables. Considera habilitar TLS 1.0 solo durante el tiempo que sea necesario para actualizar tu pila de aplicaciones y así admitir TLS 1.2.
Importante
A partir del 31 de julio de 2025, Atlas dejará de brindar soporte para TLS 1.0 o 1.1 en toda circunstancia. Atlas actualizará todos los clústeres para rechazar los intentos de conexión con TLS 1.0 o 1.1.
Cualquier conexión de cliente configurada para TLS 1.0 o 1.1 sufrirá una interrupción del servicio durante esta actualización. Para evitar esto, se debe establecer la versión mínima de TLS de los clústeres en 1.2 lo antes posible.
¿Qué autoridad de certificación firma los certificados TLS de MongoDB Atlas?
Con la incorporación de Google Trust Services como autoridad de certificación adicional, los certificados TLS de los nodos del clúster Atlas ahora están firmados por Google Trust Services o Let's Encrypt para mejorar la alta disponibilidad. Google Trust Services se utilizará activamente junto con la autoridad de certificación Let's Encrypt. Debe agregar certificados de CA para las autoridades de certificación raíz GTS Root R1, GTS Root R2, GTS Root R3 y GTS Root R4 de Google Trust Services a los almacenes de certificados de confianza de sus clientes, además de la autoridad de certificación raíz ISRG Root X1 de Let's Encrypt para garantizar la continuidad del servicio.
Atlas usará los certificados CA raíz GTS Root R3 y GTS Root R4 para el soporte de TLS 1.3 en el futuro.
Nota
La mayoría de los entornos de aplicaciones ya tienen Let's Encrypt y Google Trust Services en su lista de CA de confianza.
Para descargar los certificados de la Autoridad de Certificación, consulte el repositorio de Servicios de confianza de Google y ISRG Root X1.
Nota
Atlas rota automáticamente los certificados. No es necesario ejecutar el rotateCertificates comando. Utiliza el comando rotateCertificates solo si deseas rotar los certificados manualmente.
¿Con qué frecuencia un clúster Atlas rota los certificados TLS?
Los certificadosTLS tienen una validez de 90 días 42 a partir de su emisión. Se rotan días antes de su fecha de vencimiento.
Utiliza el siguiente comando para comprobar la caducidad de tu certificado TLS de un nodo:
echo | openssl s_client -showcerts -connect $HOSTNAME:$PORT 2> /dev/null | openssl x509 -noout -enddate
Autoridad de certificación codificada de forma rígida
No se recomienda codificar de manera rígida o fijar certificados intermedios porque puede suponer una carga operativa y un riesgo de disponibilidad. Si Let's Encrypt o Google Trust Services rota o reemplaza tu certificado intermedio fijado, es posible que tu aplicación no se conecte, lo que puede provocar una Interrupción del servicio.
Si debe anclar un certificado, hágalo a los certificados de la autoridad certificadora y no a ningún certificado intermedio.
Usuarios de Java
El certificado raíz ISRG de Let's Encrypt y los certificados raíz de Google Trust Services están disponibles en el almacén de confianza por defecto de Java versión 7 después de la actualización 7u391 y Java versión 8 después de la actualización 8u381 . Utilice una versión de Java posterior al 18 de julio de 2023.
Asegúrese de que su software cliente Java esté actualizado. Utilice las últimas versiones de Java para aprovechar las numerosas mejoras, además de estos nuevos requisitos de la autoridad de certificación para nuestros certificados TLS.
Si cuentas con tu propio almacén de confianza, añade los certificados de Let's Encrypt y Google Trust Services. Para obtener más información, consulte ¿Qué entidad emisora de certificados firma los certificados TLS de MongoDB Atlas?
Usuarios de Windows servidor
La autoridad de certificación raíz ISRG Root X1, GTS Root R1 y GTS Root R2 no están incluidas por defecto en Windows servidor, pero están disponibles en el Microsoft Trusted Root Program.
Para configurar Windows Server para descargar certificados raíz de confianza, consulte la Documentación de Windows.
Usuarios de Amazon Linux AMI
Es posible que algunas versiones de la AMI de Amazon Linux no incluyan los certificados ISRG Root X1 y GTS Root R1 y R.2 Para obtener los certificados raíz necesarios, migre a una versión más reciente de Amazon Linux. A partir del de 2025 junio, se requerirá la compatibilidad con los certificados ISRG Root X y1 GTS Root R1 y R2 para Atlas a fin de evitar problemas de compatibilidad.
Si necesitas usar una AMI Amazon Linux antigua, instala manualmente la Autoridad Certificadora raíz ISRG Root X1, GTS Root R1 y R2.
Todos los demás
Este cambio no debería afectarle si utiliza un lenguaje de programación y una versión del sistema operativo recientes.