Configuración Robusta para HTTPS
Cada medida de seguridad hace a un conjunto de controles. Puede parecer insignificante por si misma, pero hace al sistema.
La seguridad puede ser vista de muchas maneras, en esta oportunidad quiero proyectar esa visión de una gran pared con muchos ladrillos. Cada ladrillo representa una contramedida o control que implementamos. Si 1 ladrillo esta mal colocado, puede ser que la pared no se derrumbe, pero podria ser suficiente para generar una brecha de seguridad con la potencialidad de crecer y afectar a toda la protección.
Certificados digitales
“HTTPS” significa Hypertext Transfer Protocol Secure (en español, Protocolo seguro de transferencia de hipertexto). Es la variedad segura del protocolo de transferencia de hipertexto que, a su vez, es la base de cómo movemos datos en la World Wide Web. Básicamente, conectarse a un website vía “HTTPS” (en lugar de conectarse a través del conocido “HTTP”) significa que cualquier dato que intercambies con dicho sitio pasará por encima de la seguridad de la capa de transporte encriptada (TLS) o su predecesora, la capa de conexión segura (SSL). Las conexiones “HTTPS” se encuentran señalizadas con un pequeño ícono de un candado en algún lugar de tu barra de direcciones, o en la “s” luego del “http” en la URL. “HTTPS” significa que cualquier dato que pases por un website estará encriptado mientras se mueva.
Fuente: https://latam.kaspersky.com/blog/explicativo-certificados-digitales-y-https/615/
Configuracion robusta
Entonces no solo sera suficiente tener un certificado digital para mostrar un candadito en las conexiones s sitios seguros como banca digital por ejemplo. Sera importante validar si la configuracion es la mas robusta posible.
En el internet se tienen diferentes recursos para validar la configuracion del certificado digital instalado.
El nivel de seguridad viene de las letras A+ hasta F, es decir muy seguro a menos seguro. Por ejemplo mantener protocolos criptograficos inseguros u obsoletos le resta puntaje al sitio web.
Sitios web visitados
Casi el total de visitas a la pagina principal del sitio web correspondiente a las facilidades de banca digital se ha realizado a mediados de mes y se ha publicado para dar a conocer los mejores resultados obtenidos. La intención? que los administradores puedan reconfigurar sus sitios y mejorar la protección de los mismos. Sin embargo vemos que no todos ven esta opción como una necesidad.
NOTA: LA VALIDACION SE HACE DE FORMA PUBLICA.
Puede ser realizada por cualquier persona en el siguiente enlace: https://www.ssllabs.com/ssltest/
La publicacion inicial de facebook esta en: https://business.facebook.com/YanapTiCorp/posts/3770638263018047
A continuación presentamos los resultados obtenidos en la visita de mediados de mes.
Como se puede observar el principal problema de la configuración esta en los protocolos obsoletos.
Las entidades en general, deben establecer la LINEA BASE DE SEGURIDAD en sus políticas criptograficas estableciendo tanto protocolos como longitud de llave permitida en cifrado simétrico, asimétrico y funciones hash.
Conclusión
Hemos creado una cultura a nivel de usuario final donde le decimos que valide la existencia del candadito en la url del navegador. Ahoar hay que seguir con este esfuerzo y reforzar la configuracion.
Reiteramos la lógica de que cada medida asumida es un ladrillo mas en la gran muralla de seguridad.