El protocolo SSL y sus variantes, v2, v3, TLS ofrecen muchas combinaciones de protocolos de intercambio de claves, cifrado, etc. que han ido evolucionando en el tiempo para introducir mejoras y arreglar problemas de seguridad.
La configuración predeterminada de IIS (y de cualquier servidor Web) suele estar predefinida para ser compatible para una amplia gama de clientes, pero esto deja abiertos protocolos obsoletos o inseguros.
Una buena forma de comprobar nuestra calidad de seguridad es utilizar https://www.ssllabs.com/ssltest, para obtener un análisis exhaustivo de la calidad de certificados y CAs, protocolos soportados, etc. Es conveniente marcar la opción ‘Do not show..’ por si acabamos en la lista de la vergüenza.
Lo más básico es desactivar SSL2.0 y activar las opciones 1.1 y 1.2 de TLS. Hay recomendaciones de alteración del orden de los protocolos de cifrado para mitigar ataques BEAST, pero no parece tan grave y me entra la duda de los efectos secundarios en clientes antiguos.
Todo esto se puede hacer a través de cambios en el registro, pero hay una herramienta que nos lo facilita enormemente: IIS Crypto
Esta es la configuración que estoy usando para conseguir una B en el test anterior.
Cuidado… para soportar todos los protocolos, se necesita un Windows Server 2008 R2 o superior.
En esta página explican en detalle la configuración.
No hay comentarios:
Publicar un comentario