Version 1.5 de la guía de buenas prácticas SSL/TLS de SSL Labs

By | July 1, 2016

Recientemente SSL Labs ha subido a su Wiki en GitHub la nueva versión de la guía de recomendaciones y buenas prácticas en el uso de SSL/TLS. Una muy buena lectura y punto de referencia para los administradores de sistemas, especialmente los que trabajamos en entornos Middleware donde nos peleamos a diario con esta tecnología.

La guía es bastante completa y hace un repaso de los aspectos técnicos y de gestión de infraestructura PKI. Como todo, lejos de la obligatoriedad el administrador tendrá que decidir qué puntos son aplicables en su entorno. A modo de resumen, la guía cubre los siguientes puntos:

  • Securización de claves privadas (permisos, generarlas en entornos con suficiente entropía, generar nuevas claves en caso de una brecha de seguridad…)
  • Gestión y consideraciones de seguridad de certificados multidominio y wildcard.
  • Factores a tener en cuenta a la hora de elegir una CA de confianza (si ofrece servicios OCSP y CRL, si está sometida a auditorías regulares, soporte…)
  • Uso de algoritmos de cifrado seguros (SHA256 como mínimo en el estándar actual)
  • Configuración óptima de entornos SSL/TLS: recomendable utilizar cadenas de certificación completas, protocolos seguros (va siendo hora de descartar SSL e implantar TLS como mínimo y v1.2 como mejor opción), suites de cifrado seguras (descartamos RC4, NULL, 3DES…), uso de ECDHE para intercambio de claves y evitar RSA…
  • Optimización del rendimiento: securizar el entorno tiene cierta penalización en el rendimiento, especialmente durante la negociación (handshake) SSL/TLS. Para mitigarlo podemos establecer caché de sesión SSL, caché de contenido (salvo de datos sensibles), OCSP stapling, keep-alive de conexión, HTTP/2, CDN para distribuir el peso de la carga de contenido entre servidores.
  • Cuidar la seguridad a nivel de aplicativo, eliminando el contenido mixto en el que parte va sin cifrar (por ejemplo, JavaScript, CSS o imágenes). Si un sitio web se securiza, debe serlo completamente para evitar una mayor exposición a ataques MitM. Configurar HSTS, cookies seguras o Content Security Policy (CSP) también es recomendable.

Como vemos, una excelente referencia para securizar nuestros entornos y hacernos la vida más sencilla a los administradores 😉