Reforzando la configuración SSL/TLS de infraestructuras web (recopilatorio cipherli.st)

Cipherli

Cipherli

Para administradores de sistemas que trabajen en la securización de servicios web, bases de datos y comunicaciones, en cipherli.st encontramos una interesante colección de configuraciones seguras SSL/TLS para servidores web Apache, Nginx y Lighttpd. Cuestión que también comenté hace un tiempo cuando SSL dejó de considerarse un protocolo adecuado para comunicaciones seguras según los últimos estándares.

Configuración SSL segura para un servidor web Apache

Configuración SSL segura para un servidor web Apache

Por otro lado también tenemos disponibles configuraciones para otros servicios como puedan ser bases de datos, servidores FTP o de correo:

  • Haproxy
  • Postfix
  • ProFTPd
  • Exim
  • Dovecot
  • DirectAdmin
  • MySQL
  • Postgresql
  • OpenSSH (Servidor y cliente)

Sin embargo, no tan rápido a la hora de securizar al máximo nuestros servicios. Tengamos en cuenta:

  • Antes de aplicar estas configuraciones es conveniente realizar un análisis del entorno a nivel de software. Puede que no podamos aplicar las reglas más rigurosas por cuestiones de retrocompatibilidad con navegadores y sistemas antiguos. Sí, a día de hoy todavía hay quien utiliza IE6 o Windows XP SP2, el cual presenta problemas para negociar con servidores web que tengan certificados firmados con SHA-256.
  • Para comprobar los puntos fuertes y débiles de la configuración de nuestro servidor web podemos utilizar herramientas como SSL Decoder o el Test de Qualys SSL Labs. Esto nos puede dar pistas sobre aquellos parámetros que tendremos que cambiar en nuestros servicios para securizarlos correctamente según los últimos estándares (entre otros, recordar que hay que utilizar como mínimo algoritmo SHA-256 y claves privadas de 2048 bits de longitud)
    Qualys SSL Lab

    Qualys SSL Lab