Con la entrada en vigencia de las restricciones de uso de SSL y TLS temprana en entornos PCI DSS este 30 de junio de 2018, es importante que aquellos comercios y proveedores de servicio que estén finalizando su migración o que implementen nuevos sistemas estén totalmente seguros de que las configuraciones de TLS se adaptan a los lineamientos que exige el estándar, dentro de los cuales se encuentran:
- Emplear exclusivamente el protocolo Transport Layer Security (TLS) versiones 1.2 y 1.3 (que acaba de ser aprobado).
- Verificar que las librerías de encriptación empleadas para TLS no tengan vulnerabilidades reportadas.
- Emplear un conjunto de cifrado («cipher suite») que involucre estrictamente algoritmos de encriptación robustos.
- Verificar que los certificados digitales que se emplean provengan de una entidad de certificación de confianza.
- Verificar que todos los canales por los cuales se puedan transmitir datos de tarjetas de pago se encuentren protegidos por criptografía robusta.
- Aplicar las mejores prácticas de configuración de TLS de acuerdo con el documento NIST 800-52 y las recomendaciones de Mozilla en Mozilla’s Server Side TLS Guidelines.
Para ello, a continuación listamos una serie de herramientas online y standalone que permiten hacer estas verificaciones:
Herramientas online de verificación de configuración de HTTPS/TLS
Los siguientes sitios web permiten la realización de un escaneo no intrusivo para verificar la configuración del servidor web y de sus componentes (incluyendo HTTPS/TLS y certificados digitales):
- Qualys SSL Labs
- Entrust SSL Labs
- SSL Tools Web Server Encryption (para servidores web)
- SSL Tools Mail Server Encryption (para servidores de correo electrónico)
- Mozilla Observatory
- Hardenize
Específicamente para PCI DSS, se puede hacer una evaluación de cumplimiento a través del servicio de High-Tech Bridge SSL/TLS Server Configuration.
NOTA: Es importante tener en cuenta que estos servicios de escaneo califican los resultados de acuerdo con criterios que pueden ser más exigentes que los requeridos por PCI DSS. No obstante, nunca está de más implementar controles adicionales de seguridad.
Herramientas standalone de verificación de configuración de HTTPS/TLS
Por otro lado, se puede emplear alguna de las siguientes herramientas específicas para la detección de la configuración de TLS:
Empleando nmap también se puede obtener la información de los algoritmos de cifrado permitidos en un puerto que soporte TLS para validar su configuración:
1 | nmap --script ssl-cert,ssl-enum-ciphers -p 443 HOST |
Dentro de los scripts de nmap se pueden encontrar scripts específicos para revisar si el servidor web es vulnerable a ataques como HeartBleed:
1 | nmap -p 443 --script ssl-heartbleed HOST |
En la página “Testing for Weak SSL/TLS Ciphers, Insufficient Transport Layer Protection (OTG-CRYPST-001)” de la OWASP se pueden encontrar múltiples herramientas para la validación de configuración de TLS que pueden ser igualmente útiles.
Otro excelente recurso para pentesters se encuentra en la página «SSL Checklist for Pentesters – the Manual Cheatsheet» de Explore Security, en donde se explican en detalle distintas herramientas y verificaciones para comprobar la seguridad SSL/TLS de un recurso.
Si aún no sabes cómo configurar de forma correcta tu servidor web, la página de Mozilla SSL Configuration Generator te puede ser de gran utilidad, ya que permite generar de forma automática configuraciones para Apache, Nginx, Lighttpd, HAProxy y AWS ELB (seleccionar únicamente los perfiles «Modern» e «Intermediate»).
Finalmente, un consejo para aquellos que aún dudan con migrar a TLS 1.2 por posibles pérdidas de clientes: A partir del 30 de junio TODOS los comercios y proveedores de servicio que transmitan datos de tarjetas de pago estarán obligados a usar TLS 1.2, así que si un cliente no se puede conectar a tu página web por incompatibilidad de su browser, no te preocupes, tampoco lo podrá hacer a la pagina de la competencia 🙂
5 Comentarios en respuesta a "Revisa si la configuración de TLS 1.2 de tu sitio web es correcta con estas herramientas"