¿Cómo encripta Atlas mis datos?
Atlas utiliza cifrado de volumen completo (disco) para todos los datos en reposo, incluidos los datos del clúster y las copias de seguridad de esos datos.
Atlas también requiere Cifrado TLS para datos de clientes y comunicaciones de red dentro del clúster.
Si su organización requiere información más específica sobre el cifrado de Atlas, comuníquese con Atlas Compatibilidad con MongoDB:
En Atlas, vaya a la Support página.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
Haga clic en el icono Support en la barra de navegación.
Haga clic en View plan.
Aparece la página de soporte.
¿Puedo desactivar TLS en mi implementación?
No.
¿Qué versiones de TLS admite Atlas?
Atlas requiere conexiones TLS para todos los clústeres de Atlas. A partir de julio de 2020, Atlas activó de forma predeterminada la versión 1.2 del Protocolo de seguridad de capa de transporte (TLS) para todos los nuevos clústeres de Atlas, independientemente de la versión de MongoDB.
MongoDB 7.0 y versiones posteriores deshabilitaron la compatibilidad con TLS 1.0 donde TLS 1.1+ está disponible. Puede configurar manualmente TLS. 1 1 1o.0 mediante editando la configuración de su clúster.
Importante
A partir del 31 de julio de 2025, Atlas dejará de brindar soporte para TLS 1.0 o 1.1 en toda circunstancia. Atlas actualizará todos los clústeres para rechazar los intentos de conexión con TLS 1.0 o 1.1.
Cualquier conexión de cliente configurada para TLS 1.0 o 1.1 sufrirá una interrupción del servicio durante esta actualización. Para evitar esto, se debe establecer la versión mínima de TLS de los clústeres en 1.2 lo antes posible.
Puede leer más sobre los plazos y los motivos del cambio en la Industria de Tarjetas de Pago (PCI) y en el Instituto Nacional de Estándares y Tecnología (NIST).
Si tiene preguntas sobre la compatibilidad con TLS o no puede actualizar sus aplicaciones para que admitan TLS, 1.2 comuníquese con el soporte de Atlas MongoDB.
Para abrir un ticket de soporte de Atlas:
En Atlas, diríjase a la página Support.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
Haga clic en el icono Support en la barra de navegación.
Haga clic en View plan.
Aparece la página de soporte.
¿Cómo sé si mis aplicaciones admiten TLS 1.2?
Las aplicaciones cuyos lenguajes de programación o bibliotecas de seguridad subyacentes sean anteriores a TLS 1.2 podrían requerir una actualización a una versión más reciente para que sean compatibles con TLS. También podría ser 1.2 necesario actualizar el sistema operativo del host de la aplicación para que sea compatible con TLS. 12
MongoDB y Atlas no ofrecen servicios para auditar aplicaciones externas y determinar qué versiones de TLS admiten. Servicios de terceros, como howsmyssl.com, pueden proporcionar las herramientas adecuadas. MongoDB no avala este servicio y su referencia es solo informativa. Siga los procedimientos de su organización para seleccionar el proveedor o servicio que auditará sus aplicaciones.
¿Qué debo hacer para actualizar mis clústeres para TLS 1.2?
Realice una auditoría de sus aplicaciones para comprobar la compatibilidad con TLS. 1.2
Actualice todos los componentes de su pila de tecnología que no admiten TLS. 1.2
Modifique la configuración de su clúster para utilizar TLS. 1.2
¿Puedo forzar la habilitación de TLS 1.0?
Atlas le permite configurar manualmente TLS 1.0 durante la modificación del clúster.
Habilitar TLS 1.0 en cualquier clúster de Atlas conlleva riesgos significativos. Considere habilitar TLS 1.0 solo durante el tiempo necesario para actualizar su pila de aplicaciones para que sea compatible con 1 TLS.2
Importante
A partir del 31 de julio de 2025, Atlas dejará de brindar soporte para TLS 1.0 o 1.1 en toda circunstancia. Atlas actualizará todos los clústeres para rechazar los intentos de conexión con TLS 1.0 o 1.1.
Cualquier conexión de cliente configurada para TLS 1.0 o 1.1 sufrirá una interrupción del servicio durante esta actualización. Para evitar esto, se debe establecer la versión mínima de TLS de los clústeres en 1.2 lo antes posible.
¿Qué autoridad de certificación firma los certificados TLS de MongoDB Atlas?
Con la incorporación de Google Trust Services como autoridad de certificación adicional, los certificados TLS de los nodos del clúster Atlas ahora están firmados por Google Trust Services o Let's Encrypt para mejorar la alta disponibilidad. Google Trust Services se utilizará activamente junto con la autoridad de certificación Let's Encrypt. Debe agregar certificados de CA para las autoridades de certificación raíz GTS Root R1, GTS Root R2, GTS Root R3 y GTS Root R4 de Google Trust Services a los almacenes de certificados de confianza de sus clientes, además de la autoridad de certificación raíz ISRG Root X1 de Let's Encrypt para garantizar la continuidad del servicio.
Atlas usará los certificados CA raíz GTS Root R3 y GTS Root R4 para el soporte de TLS 1.3 en el futuro.
Nota
La mayoría de los entornos de aplicaciones ya tienen Let's Encrypt y Google Trust Services en su lista de autoridades de certificación de confianza.
Para descargar los certificados de la autoridad certificadora, consulte el repositorio de servicios de confianza de Google y ISRG Root X.1
Nota
¿Con qué frecuencia un clúster Atlas rota los certificados TLS?
Los certificadosTLS tienen una validez de 90 días 42 a partir de su emisión. Se rotan días antes de su fecha de vencimiento.
Utilice el siguiente comando para comprobar la expiración del certificado TLS de un nodo:
echo | openssl s_client -showcerts -connect $HOSTNAME:$PORT 2> /dev/null | openssl x509 -noout -enddate
Autoridad de certificación codificada de forma rígida
No recomendamos codificar ni fijar certificados intermedios, ya que esto supone una carga operativa y un riesgo de disponibilidad. Si Let's Encrypt o los Servicios de Confianza de Google rotan o reemplazan su certificado intermedio fijado, su aplicación podría no conectarse, lo que provocaría una interrupción.
Si debe anclar un certificado, hágalo a los certificados de la autoridad certificadora y no a ningún certificado intermedio.
Usuarios de Java
El certificado raíz ISRG de Let's Encrypt y los certificados raíz de los Servicios de Confianza de Google están disponibles en el almacén de confianza predeterminado de Java, versión,7 después de la 7391 actualización u, y de Java, versión,8 después de la 8381 actualización u. Use una versión de Java posterior al de 18 julio 2023 de.
Asegúrese de que su software cliente Java esté actualizado. Utilice las últimas versiones de Java para aprovechar las numerosas mejoras, además de estos nuevos requisitos de la autoridad de certificación para nuestros certificados TLS.
Si tiene su propio almacén de confianza, agréguele los certificados de Let's Encrypt y Google Trust Services. Para obtener más información, consulte ¿Qué autoridad de certificación firma los certificados TLS de MongoDB Atlas?
Usuarios de Windows Server
Las autoridades de certificación raíz ISRG Root X,1 GTS Root R1 y GTS Root R2 no están incluidas de forma predeterminada en Windows Server, pero están disponibles en el Programa raíz de confianza de Microsoft.
Para configurar Windows Server para descargar certificados raíz de confianza, consulte la Documentación de Windows.
Usuarios de AMI de Amazon Linux
Es posible que algunas versiones de la AMI de Amazon Linux no incluyan los certificados ISRG Root X1 y GTS Root R1 y R.2 Para obtener los certificados raíz necesarios, migre a una versión más reciente de Amazon Linux. A partir del de 2025 junio, se requerirá la compatibilidad con los certificados ISRG Root X y1 GTS Root R1 y R2 para Atlas a fin de evitar problemas de compatibilidad.
Si debe utilizar una AMI de Amazon Linux más antigua, instale manualmente las autoridades de certificación raíz ISRG Root X1, GTS Root R1 y R2.
Todos los demás
Este cambio no debería afectarle si utiliza un lenguaje de programación y una versión del sistema operativo recientes.