¿Cómo cifra Atlas mis datos?
Atlas utiliza cifrado de volumen completo (disco) para cualquier dato en reposo, incluyendo tus datos de clúster y las copias de seguridad de esos datos.
Atlas también requiere TLS cifrado para los datos del cliente y las comunicaciones de red dentro del clúster.
Si tu organización necesita información más específica sobre el cifrado de Atlas, comunícate con Atlas soporte de MongoDB:
En Atlas, diríjase a la página Support.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
Haga clic en el icono Support en la barra de navegación.
Haga clic en View plan.
Aparece la página de soporte.
¿Puedo desactivar TLS en mi implementación?
No.
¿Qué versiones de TLS admite Atlas?
Atlas requiere conexiones TLS para todos los clústeres de Atlas. Después de julio de 2020, Atlas habilitó por defecto el protocolo de seguridad en la capa de transporte (TLS) versión 1.2 para todos los nuevos clústeres de Atlas, independientemente de la versión de MongoDB.
MongoDB 7.0 y versiones posteriores deshabilitaron el soporte para TLS 1.0 donde TLS 1.1+ está disponible. Puede configurar manualmente TLS 1.1 o 1.0 editando la configuración del clúster.
Importante
A partir del 31 de julio de 2025, Atlas dejará de dar soporte a TLS 1.0 o 1.1 en toda circunstancia. Atlas actualizará todos los clústeres para rechazar intentos de conexión con TLS 1.0 o 1.1.
Cualquier conexión de cliente configurada para TLS 1.0 o 1.1 experimentará una interrupción del servicio durante esta actualización. Para evitar esto, establezca la versión mínima de TLS de tus clústeres en 1.2 a la mayor brevedad posible.
Puede leer más sobre el cronograma y los motivos del cambio en la industria de tarjetas de pago (PCI) así como en el Instituto Nacional de Estándares y Tecnología (NIST).
Si tienes preguntas sobre el soporte de TLS o no puedes actualizar tus aplicaciones para soportar TLS 1.2, por favor contacta a Atlas Soporte de MongoDB.
Para abrir un ticket de soporte de Atlas:
En Atlas, diríjase a la página Support.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
Haga clic en el icono Support en la barra de navegación.
Haga clic en View plan.
Aparece la página de soporte.
¿Cómo sé si mis aplicaciones admiten TLS 1.2?
Las aplicaciones cuyos lenguajes de programación subyacentes o librerías de seguridad sean anteriores a TLS 1.2 pueden requerir una actualizar a una versión más reciente para permitir TLS 1.2. También puede que sea necesario actualizar el sistema operativo host de la aplicación para admitir TLS 1.2.
MongoDB y Atlas no proporcionan servicios para auditar aplicaciones externas respecto a qué versiones de TLS son compatibles. Los servicios de terceros, como howsmyssl.com, pueden proporcionar las herramientas adecuadas. MongoDB no respalda este servicio, y su mención es solo informativa. Usa los procedimientos de tu organización para seleccionar el proveedor o servicio para auditar tus aplicaciones.
¿Qué debo hacer para actualizar mis clústeres para TLS 1.2?
Audita tus aplicaciones para asegurarse de que admitan TLS 1.2.
Actualiza todos los componentes de tu pila tecnológica que no sean compatibles con TLS 1.2.
Modifique la configuración de su clúster para usar TLS 1.2.
¿Puedo forzar la activación de TLS 1.0?
Atlas permite configurar manualmente TLS 1.0 durante la modificación del clúster.
Habilitar TLS 1.0 para cualquier clúster de Atlas conlleva riesgos significativos. Considera habilitar TLS 1.0 solo mientras sea necesario para actualizar tu pila de aplicaciones y soportar TLS 1.2.
Importante
A partir del 31 de julio de 2025, Atlas dejará de dar soporte a TLS 1.0 o 1.1 en toda circunstancia. Atlas actualizará todos los clústeres para rechazar intentos de conexión con TLS 1.0 o 1.1.
Cualquier conexión de cliente configurada para TLS 1.0 o 1.1 experimentará una interrupción del servicio durante esta actualización. Para evitar esto, establezca la versión mínima de TLS de tus clústeres en 1.2 a la mayor brevedad posible.
¿Qué entidad certificadora firma los certificados TLS de MongoDB Atlas?
Con la incorporación de Google Trust Services como una autoridad de certificación adicional, los certificados TLS de los nodos de clúster de Atlas ahora son firmados por Google Trust Services o Let's Encrypt para mejorar la alta disponibilidad. Google Trust Services se utilizarán activamente en conjunto con Let's Encrypt Certificate Authority. Debes añadir los certificados CA de GTS Root R1, GTS Root R2, GTS Root R3 y GTS Root R4 desde la Autoridad de Certificación raíz de Google Trust Services a los almacenes de certificados de confianza de tus clientes, además del Certificado raíz ISRG X1 de Let's Encrypt para garantizar la continuidad del servicio sin interrupciones.
Atlas usará los certificados CA raíz GTS Root R3 y GTS Root R4 para el soporte de TLS 1.3 en el futuro.
Nota
La mayoría de los entornos de aplicaciones ya tienen Let's Encrypt y Google Trust Services en su lista de CA de confianza.
Para descargar los certificados de la Autoridad de Certificación, consulte el repositorio de Servicios de confianza de Google y ISRG Root X1.
Nota
Atlas rota automáticamente los certificados. No necesitas ejecutar el comando rotateCertificates. Utiliza el comando rotateCertificates solo si deseas rotar los certificados manualmente.
¿Con qué frecuencia rota un Clúster de Atlas los certificados TLS?
Los certificados TLS son válidos durante 90 días desde el día en que se emiten. Los certificados se rotan 42 días antes de la fecha de vencimiento del certificado.
Utiliza el siguiente comando para comprobar la fecha de expiración de tu certificado TLS de un nodo:
echo | openssl s_client -showcerts -connect $HOSTNAME:$PORT 2> /dev/null | openssl x509 -noout -enddate
Autoridad de certificación codificada
No se recomienda codificar de manera rígida o fijar certificados intermedios porque puede suponer una carga operativa y un riesgo de disponibilidad. Si Let's Encrypt o Google Trust Services rota o reemplaza tu certificado intermedio fijado, es posible que tu aplicación no se conecte, lo que puede provocar una Interrupción del servicio.
Si debe fijar un certificado, hágalo a los certificados de la Autoridad de certificación y no a cualquier certificado intermedio.
Usuarios de Java
El certificado raíz ISRG de Let's Encrypt y los certificados raíz de Google Trust Services están disponibles en el almacén de confianza por defecto de Java versión 7 después de la actualización 7u391 y Java versión 8 después de la actualización 8u381 . Utilice una versión de Java posterior al 18 de julio de 2023.
Asegúrese de que su software cliente de Java esté actualizado. Use las últimas versiones de Java para aprovechar muchas mejoras más allá de estos nuevos requisitos de Autoridad de Certificación para nuestros certificados TLS.
Si tiene su propio almacén de confianza, agréguele los certificados de Let's Encrypt y Google Trust Services. Para obtener más información, consulte ¿Qué autoridad de certificación firma los certificados TLS de MongoDB Atlas?
Usuarios de Windows servidor
La autoridad de certificación raíz ISRG Root X1, GTS Root R1 y GTS Root R2 no están incluidas por defecto en Windows servidor, pero están disponibles en el Microsoft Trusted Root Program.
Para configurar Windows Server para descargar certificados raíz confiables, consulte Documentación de Windows.
Usuarios de Amazon Linux AMI
Algunas versiones de Amazon Linux AMI pueden no tener tanto ISRG Root X1 como GTS Root R1 y certificados R2 . Por favor, migre a una versión más reciente de Amazon Linux para obtener los certificados raíz requeridos. Después del 2025 de junio, se requerirá el soporte de los certificados ISRG Root X1, GTS Root R1 y R2 para Atlas a fin de evitar problemas de compatibilidad de certificados.
Si necesitas usar una AMI Amazon Linux antigua, instala manualmente la Autoridad Certificadora raíz ISRG Root X1, GTS Root R1 y R2.
Todos los demás
Este cambio no debería tener un impacto en ti si usas un lenguaje de programación reciente y una versión del sistema operativo actualizada.