La seguridad es un requisito básico de cualquier proyecto en la industria TI. El rápido desarrollo de nuevas tecnologías, los estrictos estándares de cumplimiento y las amenazas cambiantes de los piratas informáticos hacen que sea esencial mantener las herramientas de seguridad de su empresa actualizadas y lo más sólidas posible.
se enorgullece de ofrecer a sus clientes las soluciones de seguridad en línea más modernas disponibles. Nuestro trabajo es asegurarnos de que todos nuestros clientes estén bien protegidos y seguros en todos los niveles.
Este artículo lo guiará a través de los puntos principales de seguridad de alto nivel, además de mostrarle cómo mejorar la seguridad de su negocio de TI, generando así confianza y lealtad del cliente.
Si aún no lo ha hecho, le recomendamos visitar primero nuestra base de conocimientos para obtener más información sobre SSL: y .
En nuestra revisión, utilizaremos como proyecto de prueba , una empresa que ofrece soluciones de seguridad estratégicas. Usaremos su indicador A+ como el alto estándar de la industria en seguridad SSL y trataremos de cumplir con sus requisitos. El verificador SSLLabs cubre dos partes sustanciales de la investigación: Autenticación, que refleja detalles sobre el certificado SSL instalado y los certificados adicionales proporcionados por un servidor, y Configuración, que muestra la configuración del servidor para la negociación segura utilizada en la interacción cliente-servidor.
Autenticación
El primer bloque de Autenticación se llama Clave de Servidor y Certificado #1. Sus puntos principales son la validez del certificado, el tipo y tamaño de clave utilizado para generar un SSL (nuestro sistema acepta claves RSA y ECC), el algoritmo de firma y si un certificado SSL es confiable o no.
Los certificados SSL cifran los datos que se intercambian entre el servidor y el navegador con la ayuda de la función hash. SHA-1 fue la función hash más utilizada.
Según , que desarrolla y establece requisitos para que las autoridades certificadoras emitan certificados de confianza pública, el algoritmo de firma SHA-1 se eliminará progresivamente a partir de noviembre de 2014. Esto hace necesario que los certificados se emitan en SHA-2 para que todos los navegadores muestren sin advertencias. Nuestro sistema emite certificados en SHA-2 de forma automática. Para aquellos clientes que emitieron sus SSL antes de la fecha efectiva de transición, es necesario obtener certificados actualizados y válidos. Puede comprobar en qué algoritmo hash se emite el certificado con la ayuda de .
Otro punto importante (resaltado en verde en la captura de pantalla anterior) es si el servidor devolvió certificados emitidos por la Autoridad de certificación durante la prueba. Los certificados de CA intermedios se utilizan para vincular el certificado de dominio a la autoridad certificadora confiable. También deben instalarse en el servidor para que el certificado sea reconocido como confiable en todos los navegadores.
Otros dos bloques de Autenticación nos muestran estos certificados intermedios y las rutas hacia ellos construidas durante la interacción cliente-servidor. Un certificado raíz está autofirmado, lo que significa que no está firmado por otra entidad a la que se le haya otorgado autoridad. El certificado raíz obtiene autoridad a través del programa de certificado raíz administrado por el sistema operativo o el desarrollador del navegador. Todos los certificados raíz emitidos por las CA se guardan en los almacenes de confianza de los navegadores, por lo que no es necesario instalar un SSL raíz en el servidor.
Cabe señalar que si un servidor instala y envía un SSL raíz, se mostrará con este mensaje:
SSLLabs lo refleja como 'problemas de cadena':
Esto no es un error. Aumenta la latencia de la red durante el protocolo de enlace SSL y no se considera un problema según .
SSLLabs también verifica si los certificados intermedios son válidos utilizando varios puntos clave: fecha de vencimiento, clave, emisor y algoritmo de firma. Dado que la firma en un certificado raíz no se verifica (ya que el software confía directamente en la clave pública del certificado raíz), no hay nada de qué preocuparse si se emite un SSL raíz en SHA-1. Un SSL raíz autofirmado está marcado con una frase verde “En el almacén de confianza”, tanto en los bloques “Certificados adicionales” como en “Rutas de certificación”:
Por lo tanto, para proceder con éxito con la autenticación, se debe utilizar un certificado SSL válido con el tamaño de clave correcto (al menos 2048 bits para RSA y 256 bits para ECDSA) y un algoritmo hash SHA-2 emitido por una autoridad certificadora confiable. . También se debe instalar un paquete de CA completo, incluidos todos los certificados intermedios.
Configuración
Esta parte incluye los siguientes segmentos: Protocolos utilizados por un servidor para establecer una conexión segura; Cipher Suites disponibles, entre las cuales un navegador o software cliente puede seleccionar en el momento de configurar la sesión; Simulación de protocolo de enlace SSL que muestra cómo se produciría la conexión con software diferente y qué versión de protocolo, cifrados y nivel de cifrado se utilizarían; Varios, que incluye información general; y uno de los bloques más importantes: Detalles del protocolo, en el que podemos ver fallas de seguridad que deberían corregirse en el lado del servidor.
Protocolos
Hay cinco versiones de protocolo disponibles para la conexión SSL: SSL 2, SSL 3, TLS 1.0, TLS 1.1 y TLS 1.2. Actualmente, TLS 1.2 es la última versión y se considera el protocolo de seguridad de la capa de transporte (TLS) más seguro, lo que permite que las aplicaciones cliente/servidor se comuniquen de una manera diseñada para evitar escuchas, manipulación o falsificación de mensajes. .
SSLLabs destaca TLS 1.2 en verde:
Las cuentas de alojamiento compartido de están configuradas para aceptar todas las conexiones utilizando únicamente versiones TLS. Es mejor tener todas las versiones de TLS habilitadas para evitar problemas de compatibilidad con software/aplicaciones heredadas. Habilitar SSLv3 permitirá a los clientes con IE 6 visitar su sitio web a través de HTTPS, pero hará que el servidor sea vulnerable a .
Los conjuntos de cifrado se muestran en el orden preferido del servidor, desde el más fuerte al más débil, que están disponibles en la interacción segura cliente-servidor. Echemos un vistazo en qué consisten estas cadenas:
ofrece a nuestros clientes solo conjuntos de cifrado sólidos con todos nuestros servidores totalmente administrados. A continuación se muestra el ejemplo del conjunto de cifrado para planes de alojamiento compartido y de revendedor:
Los clientes con VPS autoadministrados y servidores dedicados deben administrar ellos mismos los conjuntos de cifrado.
La simulación de protocolo de enlace SSL se lleva a cabo con éxito con la mayoría del software cliente, excepto con los clientes que no lo admiten. Dado que todos los servidores de tienen SNI habilitado de forma predeterminada, la conexión SSL con Android 2.3.7, Internet Explorer 6 y 8 en Windows XP y Java 6u45 fallará a menos que el usuario.
Las versiones antes mencionadas de Internet Explorer y el paquete OpenSSL 0.9.8y no admiten Forward Secrecy, esto también debe ajustarse en el servidor. Visite nuestra base de conocimientos para y . Para los clientes con servidores de alojamiento de terceros, pueden encontrar instrucciones para implementar FS y . Los servidores basados en los centros de datos de tienen la función FS habilitada con versiones modernas de navegadores en la mayoría de ellos.
Finalmente, llegamos a los detalles del protocolo, quizás el segmento más interesante e importante. Los clientes que utilizan los planes de hosting totalmente administrados de no tienen que preocuparse por las configuraciones del servidor, ya que nuestro equipo técnico los mantiene actualizados, rastrea todas las debilidades anunciadas e implementa soluciones de inmediato para ellas. Se debe mostrar una calificación 'A' de forma predeterminada cuando se instala un certificado SSL válido con todos los certificados CA intermedios.
La codiciada calificación “A+” en SSLLabs se puede lograr habilitando la política HSTS en un servidor. Se explica la técnica HSTS. En pocas palabras, HSTS es un mecanismo que permite a los sitios web declararse accesibles solo a través de conexiones seguras, y/o que los usuarios puedan dirigir a sus agentes de usuario para interactuar con determinados sitios solo a través de conexiones seguras como se indica en .
En consecuencia, un servidor puede enviar un encabezado especial en una solicitud HTTPS al software del cliente solicitando el uso de una conexión segura forzada. Una vez que la política HSTS esté habilitada, verá ese mensaje tan deseado:
Las versiones de protocolo solo TLS, los conjuntos de cifrado modernos y las mitigaciones para todas las vulnerabilidades SSL conocidas deben aplicarse con cuidado para pasar con éxito la verificación del bloque de configuración.
Entonces, resumamos lo que hemos aprendido: dado que los servidores de alojamiento totalmente administrados de tienen todas las configuraciones necesarias preconfiguradas, todo lo que nuestros clientes deben hacer para obtener una calificación 'A+' en SSLLabs es instalar un certificado SSL válido con CA. empaquete y configure HSTS en .htaccess.
Sin embargo, aún deben mencionarse varios puntos clave para los clientes con servidores de hosting de terceros. Para establecer una buena configuración del servidor, deberá hacer algunas cosas:
- Deshabilite SSLv2 y SSLv3, que son vulnerables a y .
- Deshabilite la compresión TLS 1.0, que es vulnerable a .
- Deshabilite los cifrados débiles (DES y especialmente), prefiera cifrados modernos (), modos de operación modernos () y protocolos ().
- Deshabilite Exportar conjuntos de cifrado vulnerables a .
- Implemente un mecanismo de intercambio de claves Elliptic-Curve Diffie-Hellman y utilice un grupo DH sólido que permita prevenir nuevos archivos .
¡Eso es todo! Le deseamos mucha suerte y seguridad en su negocio.
Facebook Comments
Disqus