Recientemente SSL Labs ha subido a su Wiki en GitHub la nueva versión de la guía de recomendaciones y buenas prácticas en el uso de SSL/TLS. Una muy buena lectura y punto de referencia para los administradores de sistemas, especialmente los que trabajamos en entornos Middleware donde nos peleamos a diario con esta tecnología.
La guía es bastante completa y hace un repaso de los aspectos técnicos y de gestión de infraestructura PKI. Como todo, lejos de la obligatoriedad el administrador tendrá que decidir qué puntos son aplicables en su entorno. A modo de resumen, la guía cubre los siguientes puntos:
- Securización de claves privadas (permisos, generarlas en entornos con suficiente entropía, generar nuevas claves en caso de una brecha de seguridad…)
- Gestión y consideraciones de seguridad de certificados multidominio y wildcard.
- Factores a tener en cuenta a la hora de elegir una CA de confianza (si ofrece servicios OCSP y CRL, si está sometida a auditorías regulares, soporte…)
- Uso de algoritmos de cifrado seguros (SHA256 como mínimo en el estándar actual)
- Configuración óptima de entornos SSL/TLS: recomendable utilizar cadenas de certificación completas, protocolos seguros (va siendo hora de descartar SSL e implantar TLS como mínimo y v1.2 como mejor opción), suites de cifrado seguras (descartamos RC4, NULL, 3DES…), uso de ECDHE para intercambio de claves y evitar RSA…
- Optimización del rendimiento: securizar el entorno tiene cierta penalización en el rendimiento, especialmente durante la negociación (handshake) SSL/TLS. Para mitigarlo podemos establecer caché de sesión SSL, caché de contenido (salvo de datos sensibles), OCSP stapling, keep-alive de conexión, HTTP/2, CDN para distribuir el peso de la carga de contenido entre servidores.
- Cuidar la seguridad a nivel de aplicativo, eliminando el contenido mixto en el que parte va sin cifrar (por ejemplo, JavaScript, CSS o imágenes). Si un sitio web se securiza, debe serlo completamente para evitar una mayor exposición a ataques MitM. Configurar HSTS, cookies seguras o Content Security Policy (CSP) también es recomendable.
Como vemos, una excelente referencia para securizar nuestros entornos y hacernos la vida más sencilla a los administradores 😉