El equipo de SSL Labs ha actualizado su manual de buenas prácticas a la hora de configurar un servidor web con la máxima seguridad. En SSL Labs son expertos en comprobar si un servidor web está correctamente configurado, y si no lo está, nos indican cómo configurarlo correctamente para solucionar posibles vulnerabilidades descubiertas.

Las recomendaciones de SSL Labs para configurar adecuadamente nuestro servidor web

Recomendaciones generales sobre los certificados y claves privadas

La primera recomendación de seguridad es utilizar siempre claves RSA de 2048 bits como mínimo, es recomendable aumentar la seguridad hasta los 3072 bits pero debemos tener en cuenta que el establecimiento de las conexiones será más lenta. Otra recomendación pasa por usar claves ECDSA de 256 bits, pero debemos tener en cuenta que algunos clientes es posible que no soporten ECDSA y por tanto no podrán conectarse. No obstante, es posible desplegar en el servidor web tanto claves RSA como ECDSA simultáneamente.
Otra recomendación muy importante es proteger las claves privadas del servidor, de tal forma que muy poca gente tenga acceso a ellas. Además, es recomendable generar las claves privadas nosotros mismos, protegerlas en un contenedor cifrado y realizar copia de seguridad por si perdemos la clave original. Si en algún caso la clave privada se ve comprometida, es necesario revocarla cuanto antes y renovarla para generar nuevas claves. Además, también se recomienda renovar los certificados anualmente.
Debemos tener en cuenta que al pedir un certificado, cubramos todos los subdominios de la página web. También debemos tener presente que los certificados debemos adquirirlos en una CA de confianza, y que el algoritmo de firma de los certificados sea SHA256, actualmente SHA-1 no se considera seguro.



Recomendaciones sobre la configuración del sistema con TLS

Actualmente el principal protocolo que debe soportar nuestro servidor web es TLS 1.2 que es el único que no tiene actualmente fallos de seguridad, además es la única versión que proporciona una suite de cifrado moderno. Con la finalidad de mantener la compatibilidad con clientes antiguos, tal vez sea necesario soportar también TLS 1.1 y TLS 1.0, pero en un par de años quitarán el soporte para TLS 1.0 por lo que debemos tenerlo en cuenta. Otra recomendación es la de estar muy atentos a la salida de TLS 1.3, el último protocolo de seguridad que aún está en producción.
Siempre debemos utilizar suites de seguridad con cifrados robustos, TLS 1.2 incorpora suites AEAD que proporcionan una autenticación robusta y también un intercambio de claves seguros usando DH de al menos 2048 bits, forward secrecy, protocolo HSTS y cifrado de al menos 128 bits. Las suites de cifrados que actualmente se recomienda usar son las siguientes:
1ECDHE-ECDSA-AES128-GCM-SHA256
2ECDHE-ECDSA-AES256-GCM-SHA384
3ECDHE-ECDSA-AES128-SHA
4ECDHE-ECDSA-AES256-SHA
5ECDHE-ECDSA-AES128-SHA256
6ECDHE-ECDSA-AES256-SHA384
7ECDHE-RSA-AES128-GCM-SHA256
8ECDHE-RSA-AES256-GCM-SHA384
9ECDHE-RSA-AES128-SHA
10ECDHE-RSA-AES256-SHA
11ECDHE-RSA-AES128-SHA256
12ECDHE-RSA-AES256-SHA384
13DHE-RSA-AES128-GCM-SHA256
14DHE-RSA-AES256-GCM-SHA384
15DHE-RSA-AES128-SHA
16DHE-RSA-AES256-SHA
17DHE-RSA-AES128-SHA256
18DHE-RSA-AES256-SHA256
19EDH-RSA-DES-CBC3-SHA

Os recomendamos acceder a la wiki en GitHub de SSL Labs donde encontraréis paso a paso todas las recomendaciones de seguridad.

Fuente: RedesZone

Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que
Leer más

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos

Imagen
4.5 / 5 ( 6 votos ) El mapa de riesgos, el mapa de calor y la matriz de riesgos son herramientas útiles en Risk Management. Si bien, en ocasiones los profesionales en Risk Management confunden estos conceptos y lo tratan como si fueran una única herramienta. En este artículo vamos a aclarar las principales diferencias y similitudes entre mapa de calor y matriz de riesgos, así como con mapa de riesgos. ¿Qué son los mapas de riesgos? Un mapa de riesgos es una tabla de 2×2, normalmente una tabla cruzada, que se organiza en columnas. En la primera se colocan los posibles eventos que pueden aportar incertidumbre al objetivo de la empresa u organización. Y, en las siguientes columnas, se colocarán las probabilidades, consecuencias o variables que puedan explicar dichos eventos. Por lo tanto, esta tabla viene a considerarse un mapa de riesgos.
Leer más