De forma predeterminada, ArcGIS Server impone el uso del protocolo HTTPS, lo que crea un canal de comunicación seguro para el tráfico web. Acceder a las URL de ArcGIS Server a través de HTTPS garantiza la confidencialidad y la integridad de la red. Puesto que las contraseñas que se envían por HTTP se pueden interceptar y robar, las aplicaciones de Esri que se pueden conectar a ArcGIS Server cifran el nombre de usuario y la contraseña con el algoritmo criptográfico RSA de clave pública antes de transmitir las credenciales por la red.
Usar HTTPS protege frente a ataques de intermediarios, en los que un agente malicioso intercepta comunicaciones desprotegidas en una red y se hace pasar por la fuente legítima de las comunicaciones frente al cliente y al servidor.
La comunicación a través de HTTPS se establece mediante certificados digitales. Los certificados los firma una autoridad certificadora (CA) para garantizar la fiabilidad entre cliente y servidor. ArcGIS Server tiene su propia autoridad certificadora interna y cuenta con un certificado autofirmado predeterminado, pero se recomienda que configure un certificado firmado por una autoridad certificadora externa. Esto se debe a que la mayoría de los navegadores advierten o desaconsejan el uso de certificados autofirmados, lo que significa que hay que suprimir las advertencias si se utiliza uno. Su administrador de TI debería poder proporcionarle certificados firmados por una autoridad certificadora externa.
Nota:
ArcGIS Online aplica Solo HTTPS y el protocolo HSTS. Si alguno de los servicios de su sitio de ArcGIS Server se utiliza en ArcGIS Online, asegúrese de que el sitio del servidor esté establecido para aplicar Solo HTTPS, así como HSTS.
Consulte Acerca de los certificados de servidor para obtener más información sobre los certificados y todos los pasos de varias configuraciones de certificados con ArcGIS Server.
Nota:
ArcGIS Server no admite la descarga de SSL por medio de un equilibrador de carga/proxy inverso. Si su configuración usa un proxy inverso, debe redirigir a ArcGIS Web Adaptor o directamente a ArcGIS Server a través de HTTPS.
Cambiar la configuración de protocolo de HTTP
En algunos casos, los administradores de ArcGIS Server querrán atenuar la restricción predeterminada de la comunicación HTTP. En la mayoría de los casos, se hace para permitir la comunicación mediante HTTP y HTTPS. Puede hacerlo con el Directorio de administrador de ArcGIS Server.
- Inicie sesión en el directorio como administrador.
La dirección URL tiene el formato https://server.domain.com:6443/arcgis/admin.
- Acceda a seguridad > config > actualizar.
- Abra el menú desplegable Protocolo y seleccione su protocolo deseado.
Precaución:
Tan solo en contadas ocasiones los administradores establecerán el protocolo del sitio como Solo HTTP. Si no sabe con certeza si tomar esa decisión, defina el protocolo como HTTP y HTTPS o Solo HTTPS.
- Haga clic en Actualizar para confirmar.
El servidor se reinicia.
Habilitar Seguridad de transporte estricta de HTTP
Si desea imponer un uso muy estricto de HTTPS en su sitio de ArcGIS Server, puede habilitar los encabezados de Seguridad de transporte HTTP estricta (HSTS). Cuando estén habilitados, el servidor envía un encabezado de Strict-Transport-Security con todas las respuestas que devuelve; este encabezado indica al navegador de destino que envíe siempre solicitudes HTTPS al servidor para una duración posterior definida por el encabezado (un año de forma predeterminada). HSTS está deshabilitado de forma predeterminada, pero refuerza el uso del protocolo Solo HTTPS.
Para obtener más información, consulte Imponer una comunicación HTTPS estricta.
Versiones de TLS compatibles
Transport Layer Security (TLS) es un protocolo criptográfico que proporciona seguridad en las comunicaciones a través de una red. ArcGIS Server admite de forma predeterminada la versión 1.2 de TLS. También puede habilitar las versiones 1.0 y 1.1 del protocolo TLS. Consulte Restringir protocolos TLS y conjuntos de cifrado para obtener más información.
Heredado:
A partir de la versión 10.3, se dejó de ofrecer compatibilidad con Secure Sockets Layer (SSL) a causa de la vulnerabilidad SSL 3.0 POODLE.