Herramientas para validación de HTTPS

Quizá uno de los temas más delicados en la configuración de sitios web es la implementación correcta de un dominio bajo HTTPS ya sea porque requiere cierto conocimiento criptográfico o una serie de pasos muy bien definidos para que no tenga ninguna falla.

Independientemente del tipo de tecnología de servidor que se utilice (IIS, Apache, Nginx, etc.) la configuración de certificados para HTTPS junto con el formato adecuado de ellos, el orden correcto, configuración de OCSP y de más, pueden derivar en cualquier cantidad de problemas para los clientes (user-agents) o más específicamente para su biblioteca PKI que utilice para comunicarse con el servicio HTTPS expuesto.

Por mencionar algunos problemas tenemos:

  • Cadena de confianza incompleta o incorrecta
  • Suites de cifrado (cipher-suites) no soportadas por los clientes esperados
  • Versiones del protocolo SSL/TLS inseguras
  • Vulnerabilidades como BEAST, POODLE, HEARTBLEED activas
  • HSTS mal configurado
  • entre otros.

Existe un sin fin de literatura para la instalación correcta de certificados y configuración HTTPS, de acuerdo a la tecnología involucrada, que podemos encontrar con una buena búsqueda en Google pero una vez realizada la instalación siempre es bueno validarla de forma externa para asegurarnos que nuestra implementación es adecuada y soportada por los clientes esperados.

Para ello tenemos las siguientes herramientas:

SSL Labs: https://casecurity.ssllabs.com/
ssl-labs
Probablemente la más completa de ellas y creada por la empresa de seguridad Qualys Inc. nos permite conocer la siguiente información de nuestra instalación:

  • Información del dominio
  • Características de los certificados instalados
  • Validación de la cadena de confianza
  • Soporte activo de versiones en el protocolo SSL/TLS
  • Suites de cifrado habilitadas
  • Simulaciones de handshake de los clientes más comunes en el mercado. Esto para verificar que un Android 4.4 por ejemplo, pordrá conectarse con nuestro sitio HTTPS, o un IE8, etc.
  • Vulnerabilidades activas inherentes a HTTPS

COMODO SSL Analyzer: https://sslanalyzer.comodoca.com
ssl-analyzer
Básicamente un analizador de configuración HTTPS ligeramente más sencillo y con un detalle muy similar SSL Labs pero excluyendo las simulaciones de Handshake de los agentes.
Esta solución, desarrollada por COMODO CA Limited, también nos permitirá detectar errores en la instalación de certificados y configuraciones HTTPS.

OBSERVATORY by mozilla: https://mozilla.github.io/http-observatory-website/
observatory
Este proyecto con no mucho tiempo de liberación nos permite conocer, no solo problemas en la configuración de HTTPS, sino ciertas vulnerabilidades enfocadas a un manejo incorrecto o carencia de ciertos encabezados del protocolo HTTP de nuestro sitio que, por recomendación de la industria, deberían estar activos; delega el escaneo a nivel HTTPS a SSL Labs de Qualys e integra recomendaciones para una mejor configuración del sitio bajo el dominio consultado.

Además de estas herramientas, las autoridades de certificación (CAs) cuentan con sus propias herramientas para validar la instalación correcta de sus certificados que podemos utilizar de forma gratuita, siendo estas herramientas usualmente mucho más sencillas:

Espero estas referencias sean de utilidad en la configuración de sus certificados y HTTPS.

  1. Tools for HTTPS validation/verification – sec.uno - pingback on December 15, 2016 at 13:34

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Are you a human ? * Time limit is exhausted. Please reload the CAPTCHA.

Trackbacks and Pingbacks: