Archivo de la etiqueta: nginx

VirtualHosts basados en nombre y comprobación de certificados con OpenSSL

Si utilizamos VirtualHosts basados en nombre en nuestro frontal web -cosa que suele estar a la orden del día, en primer lugar para ahorrar IPs- debemos tener en cuenta ciertas consideraciones si comprobamos nuestros certificados con OpenSSL. En una arquitectura como la mencionada, un servidor web Apache o Nginx puede alojar múltiples sitios web (dominios)… Leer más »

Test de certificados SSL defectuosos en badssl.com

¿Qué tipo de error obtenemos en nuestro navegador cuando visitamos una web con un certificado expirado? ¿Si dicha web contiene contenido mixto con imágenes que se sirven por HTTP? ¿Y si las suites de cifrado no son seguras? Siempre podemos montarnos un servidor web Apache/Nginx y crear certificados con OpenSSL para realizar tests, pero la… Leer más »

HTTPoxy – Anunciada vulnerabilidad de aplicaciones CGI escritas en Python, Go y PHP entre otros

En realidad esta vulnerabilidad lleva desde hace 15 años entre nosotros, haciendo acto de presencia en marzo de 2001 por primera vez. Entonces se detectó en el módulo libwww-perl y se ha ido mitigando hasta el día de hoy en sus sucesivas apariciones: curl (abril de 2001), Ruby (julio de 2012), Nginx (noviembre 2013) y… Leer más »

Version 1.5 de la guía de buenas prácticas SSL/TLS de SSL Labs

Recientemente SSL Labs ha subido a su Wiki en GitHub la nueva versión de la guía de recomendaciones y buenas prácticas en el uso de SSL/TLS. Una muy buena lectura y punto de referencia para los administradores de sistemas, especialmente los que trabajamos en entornos Middleware donde nos peleamos a diario con esta tecnología.

Reforzando la configuración SSL/TLS de infraestructuras web (recopilatorio cipherli.st)

Para administradores de sistemas que trabajen en la securización de servicios web, bases de datos y comunicaciones, en cipherli.st encontramos una interesante colección de configuraciones seguras SSL/TLS para servidores web Apache, Nginx y Lighttpd. Cuestión que también comenté hace un tiempo cuando SSL dejó de considerarse un protocolo adecuado para comunicaciones seguras según los últimos… Leer más »

Éramos pocos y… FREAK Attack, nueva vulnerabilidad SSL/TLS

Con ese nombre podría referirse perfectamente a un concurso cutre de televisión pero no, se trata de una nueva vulnerabilidad SSL/TLS, que viene sembrado ya desde el año pasado. La naturaleza de este problema se trata de una vulnerabilidad fruto del uso de suites de cifrado débiles que consecuentemente son fáciles de descifrar en un… Leer más »

Goaccess, un analizador de logs para servidores web desde terminal UNIX/Linux

Buscando una forma sencilla de analizar los logs de un servidor web sin complicarme la vida demasiado acabé dando con goaccess. Su ventaja sobre otros productos que requieren de una instalación compleja radica en que puede utilizarse directamente en la terminal sin necesidad de software adicional, aunque también podemos exportar informes HTML bastante completos, e… Leer más »

SSL ha muerto, larga vida a TLS

Todo llega a su fin… y si no que le pregunten a Internet Explorer 6. De todas formas, ya hacía tiempo que SSL (Secure Sockets Layer)no se consideraba un protocolo seguro de comunicaciones (vulnerabilidades como POODLE en SSL versión 3 o que SSL versión 2 utilizara MD5 para los mensajes de autenticación), y se recomendaba… Leer más »