Etiquetado: 

Mostrando 3 respuestas a los debates
  • Autor
    Entradas
    • #52438
      Avatarjhonny_fex
      Participante

      Buenas tardes a todos, quiero comentarles un inconveniente que se me esta presentando sobre las vulnerabilidades. tengo un servidor web que al momento de testearlo con el webinspect me muestra este mensaje:

      Insecure Transport: Weak SSL Cipher [11285] Critical

      en la cual me indica que debo deshabilitar lo siguiete:
      Deshabilite el soporte para cifrados débiles en el servidor. Las cifras débiles se definen generalmente como:
      Cualquier cifra con una longitud de clave inferior a 128 bits
      Conjuntos de cifrado de clase de exportación
      Cifrados NULOS
      Cifrados que admiten modos no autenticados
      Cifrados evaluados con valores de seguridad inferiores a 112 bits
      Todos los cifrados RC4
      Todos los cifrados de bloque de 64 bits
      Todos los cifrados que usan MD5 y SHA1 para funciones hash criptográficas
      Los siguientes cifrados admitidos por el servidor son débiles y deberían deshabilitarse.

      Ahora lo que no se en que parte del servidor debo realizar esta configuración, si es que se debe instalar un aplicativo que me permita realizar estas configuraciones. por favor si me podrían orientar. Asimismo debo de mencionar que mi servidor web esta en java.
      Muchas Gracias

    • #52449
      David AcostaDavid Acosta
      Participante

      Hola Jhonny:
      Te he dejado mi respuesta en tu comentario del artículo. La copio aquí:
      El primer paso es identificar qué tipo de servidor web estás utilizando (Apache, Ngnix, IIS, etc.) y con base en ello, modificar el archivo de configuración en el que se le indica a este servidor qué conjuntos de cifrado debe utilizar. En el mismo reporte del escaneo ASV te debería indicar el tipo de servidor web que usas. Luego, ve a https://ssl-config.mozilla.org/, escoge el tipo de servidor, elige la configuración «Intermediate» y remplaza la lista de conjuntos de cifrado (cipher suites) con la que te aparece ahí.
      Espero que estas indicaciones te sirvan.

    • #52568
      Avatarjhonny_fex
      Participante

      Hola Davis gracias por tu respuesta, sobre mi servidor web es JBOSS, a la hora que voy al link que me indicas https://ssl-config.mozilla.org/, no encuentro dicho servidor. Para ello te consultaría que tipo de configuración se realizaría, o hay otro link que me podría ayudar.

      Agradezco tu apoyo.

      Muchas Gracias,
      Jhonny Q.

    • #52571
      David AcostaDavid Acosta
      Participante

      Hola Jhonny:
      Tienes que configurar el conector HTTPS (HTTPS Connector) para indicarle los conjuntos de cifrado robustos y remover los débiles. En este caso, esto se realiza con el atributo «cipher-suite».
      Aquí encontrarás la documentación oficial: https://docs.jboss.org/jbossweb/7.0.x/config/ssl.html
      Aquí tienes algunos ejemplos: https://discussions.qualys.com/thread/18078-jboss-eap-601-cipher-suite-configuration-not-working-as-expected-at-all
      Hay que tener en cuenta varias cosas adicionales:
      – Debes tener JDK 1.8 o superior
      – Debes tener configurado TLS 1.1 o superior
      – Debes remover todos los conjuntos de cifrado que contengan MD5, SHA-1, DES o algoritmos débiles (https://www.pcihispano.com/que-algoritmos-criptograficos-se-deben-emplear-para-cumplir-con-pci-dss/).
      Al finalizar, puedes hacer pruebas empleando cualquiera de las herramientas mencionadas aqui https://www.pcihispano.com/revisa-si-la-configuracion-de-tls-1-2-de-tu-sitio-web-es-correcta-con-estas-herramientas/
      Espero que esto te sirva.

Mostrando 3 respuestas a los debates
  • Debes estar registrado para responder a este debate.