Con la entrada en vigencia de las restricciones de uso de SSL y TLS temprana en entornos PCI DSS este 30 de junio de 2018, es importante que aquellos comercios y proveedores de servicio que estén finalizando su migración o que implementen nuevos sistemas estén totalmente seguros de que las configuraciones de TLS se adaptan a los lineamientos que exige el estándar, dentro de los cuales se encuentran:

Para ello, a continuación listamos una serie de herramientas online y standalone que permiten hacer estas verificaciones:

Herramientas online de verificación de configuración de HTTPS/TLS

Los siguientes sitios web permiten la realización de un escaneo no intrusivo para verificar la configuración del servidor web y de sus componentes (incluyendo HTTPS/TLS y certificados digitales):

Específicamente para PCI DSS, se puede hacer una evaluación de cumplimiento a través del servicio de High-Tech Bridge SSL/TLS Server Configuration.

NOTA: Es importante tener en cuenta que estos servicios de escaneo califican los resultados de acuerdo con criterios que pueden ser más exigentes que los requeridos por PCI DSS. No obstante, nunca está de más implementar controles adicionales de seguridad.

Herramientas standalone de verificación de configuración de HTTPS/TLS

Por otro lado, se puede emplear alguna de las siguientes herramientas específicas para la detección de la configuración de TLS:

Empleando nmap también se puede obtener la información de los algoritmos de cifrado permitidos en un puerto que soporte TLS para validar su configuración:

Dentro de los scripts de nmap se pueden encontrar scripts específicos para revisar si el servidor web es vulnerable a ataques como HeartBleed:

En la página “Testing for Weak SSL/TLS Ciphers, Insufficient Transport Layer Protection (OTG-CRYPST-001)” de la OWASP se pueden encontrar múltiples herramientas para la validación de configuración de TLS que pueden ser igualmente útiles.

Si aún no sabes cómo configurar de forma correcta tu servidor web, la página de Mozilla SSL Configuration Generator te puede ser de gran utilidad, ya que permite generar de forma automática configuraciones para Apache, Nginx, Lighttpd, HAProxy y AWS ELB (seleccionar únicamente los perfiles “Modern” e “Intermediate”).

Finalmente, un consejo para aquellos que aún dudan con migrar a TLS 1.2 por posibles pérdidas de clientes: A partir del 30 de junio TODOS los comercios y proveedores de servicio que transmitan datos de tarjetas de pago estarán obligados a usar TLS 1.2, así que si un cliente no se puede conectar a tu página web por incompatibilidad de su browser, no te preocupes, tampoco lo podrá hacer a la pagina de la competencia 🙂