Quizá uno de los temas más delicados en la configuración de sitios web es la implementación correcta de un dominio bajo HTTPS ya sea porque requiere cierto conocimiento criptográfico o una serie de pasos muy bien definidos para que no tenga ninguna falla.
Independientemente del tipo de tecnología de servidor que se utilice (IIS, Apache, Nginx, etc.) la configuración de certificados para HTTPS junto con el formato adecuado de ellos, el orden correcto, configuración de OCSP y de más, pueden derivar en cualquier cantidad de problemas para los clientes (user-agents) o más específicamente para su biblioteca PKI que utilice para comunicarse con el servicio HTTPS expuesto.
Por mencionar algunos problemas tenemos:
- Cadena de confianza incompleta o incorrecta
- Suites de cifrado (cipher-suites) no soportadas por los clientes esperados
- Versiones del protocolo SSL/TLS inseguras
- Vulnerabilidades como BEAST, POODLE, HEARTBLEED activas
- HSTS mal configurado
- entre otros.
Existe un sin fin de literatura para la instalación correcta de certificados y configuración HTTPS, de acuerdo a la tecnología involucrada, que podemos encontrar con una buena búsqueda en Google pero una vez realizada la instalación siempre es bueno validarla de forma externa para asegurarnos que nuestra implementación es adecuada y soportada por los clientes esperados.
Para ello tenemos las siguientes herramientas:
Continue reading Herramientas para validación de HTTPS