Ya habíamos visto anteriormente herramientas que nos ayudan a configurar la capa de seguridad SSL/TLS en nuestros servidores web. Mozilla por su parte cuenta con una herramienta muy útil llamada SSL Config Generator, alojada en su web de desarrollos mozilla.github.io.
Con esta herramienta podemos generar configuraciones SSL/TLS para Apache, Nginx, Lighttpd, HAProxy y AWS ELB. Necesitaremos conocer la versión del producto y de OpenSSL instalado en nuestro sistema:
# Apache httpd -v apachectl -v # Nginx nginx -v # OpenSSL openssl version # HAProxy haproxy --version # AWS ELB (mirar en la web de AWS)
Por ejemplo un caso de Apache 2.4.18 con OpenSSL 1.0.1e:
Una vez introducidos los datos de versión del software podremos elegir entre una serie de perfiles: moderno, intermiedo y antiguo. ¿Qué significan? Hacen referencia al nivel de compatibilidad que deseamos con los navegadores. Así, un perfil intermedio SSL/TLS para Apache permitiría compatibilidad con navegadores Firefox 1, Chrome 1, IE7…:
Esto es muy útil ya que en muchas ocasiones no se implementan las últimas opciones de seguridad por cuestiones de compatibilidad con clientes/aplicaciones que aún precisan del uso de navegadores antiguos. Tendremos que lograr cierto equilibrio entre el nivel de seguridad y usabilidad.
Una de las ventajas principales que tiene esta web frente a la de cihperli es, a mi parecer, que permite filtar mucho mejor entre versiones de producto y generar una configuración que funcione específicamente para una versión en concreto, sin tener que guiarnos por comentarios o apuntes como en el caso cipherli:
Como comentaba al principio, la utilidad se encuentra alojada en la web de Desarrollos de Mozilla y de hecho podéis encontrar el proyecto subido a GitHub.
Todas estas herramientas son de gran ayuda a la hora de configurar nuestro servidor web, pero no debemos olvidar que siempre tendremos que revisar y documentarnos para aplicar los parámetros que más se adecuen a nuestras necesidades. Un punto de referencia puede ser la guía de buenas prácticas de SSL Labs que se actualiza periódicamente.