Inicio / Protege tu empresa / Blog / Si tu web cuenta con certificado de seguridad, comprueba que utilizas una versión segura del protocolo TLS

Si tu web cuenta con certificado de seguridad, comprueba que utilizas una versión segura del protocolo TLS

Publicado el 05/03/2020, por INCIBE
Imagen de acompañamiento

TLS (Transport Layer Security) es el protocolo utilizado para ofrecer seguridad y privacidad en las comunicaciones. Su utilización más conocida es en las páginas web por medio del conocido HTTPS (Hypertext Transfer Protocol Secure). En 2018 los principales navegadores, como son Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari, llegaron a un acuerdo para dejar de dar soporte a las versiones 1.0 y 1.1 de TLS en marzo de 2020.

¿Qué versión de TLS tiene mi web?

Para comprobar que versiones de TLS están habilitadas en el servidor web de tu empresa se puede utilizar la utilidad que ofrece GlobalSign, denominada SSL Server Test. Para utilizar esta herramienta únicamente es necesario introducir el dominio de la empresa en el cuadro llamado «hostname» y seleccionar el botón «submit», teniendo en cuenta que el análisis se puede demorar algunos minutos.

En la sección «Protocols», dentro de la parte «Configuration», se muestra un listado con los protocolos y las versiones habilitadas. La configuración que ofrece más nivel de seguridad es la que únicamente permite el uso de TLS 1.2 y TLS 1.3. Además, SSL 3 y SSL 2 deberán estar deshabilitados como muestra la siguiente imagen:

Configuración robusta de TLS, VEriosnes 1.2 y 1.3 habilitadas, 1.0 y 1.1 deshabilitado. Tampoco estará habilitado SSL2 y SSL3.

Por el contrario, una configuración insegura es aquella en la que solamente se permite el uso de TLS 1.0 o TLS 1.1 y cuenta con alguna versión instalada del antiguo protocolo SSL.

Configuración insegura de TLS, VEriosnes 1.2 y 1.3 deshabilitadas, 1.0 y 1.1 habilitado. También estará habilitado SSL2 y SSL3.

¿Qué puede pasar si mi web utiliza TLS 1.0 o 1.1?

Cuando el servidor web de tu empresa utiliza la TLS 1.0 o TLS 1.1, se producen varias situaciones que ponen en riesgo la privacidad y seguridad de los usuarios, de la empresa y de la imagen que ofrece.

  • Los navegadores web marcarán el sitio web como no seguro. Esto hará que los usuarios cuando accedan a la web vean un mensaje alertándoles e indicándoles que los datos que introduzcan pueden ser capturados por ciberdelincuentes.

Notificaciones de Firefox y Chrome avisando de una implementación insegura de TLS.

  • La privacidad y seguridad de los usuarios puede estar comprometida. Un ciberdelincuente podría robar la información confidencial de los usuarios, ya que los protocolos utilizados cuentan con fallos de seguridad públicos.
  • No cumple los requisitos PCI DSS v3.2. El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago indica que las versiones de TLS 1.0 y 1.1 no son lo suficientemente robustas, siendo necesario actualizar las versiones 1.2 y 1.3 de dicho protocolo. El servidor web tampoco deberá contar con ninguna versión del protocolo SSL, ya que también está considerado obsoleto e inseguro.

¿Qué hacer para que la web sea segura?

La solución es actualizar a las versiones 1.2 y 1.3 del protocolo TLS y deshabilitar las versiones 1.0 y 1.1. Además, se desinstalará cualquier versión del antiguo protocolo SSL.

Estas acciones variarán dependiendo de la ubicación de la página web: si se encuentra en un servidor propio o en una empresa externa, como las que ofrecen servicios de hosting.

Página web ubicada en un servidor propio

Si la página web se encuentra ubicada en un servidor propio es recomendable que esta tarea la realice personal especializado con conocimientos técnicos, puesto que, en caso de fallo, la página web podría dejar de funcionar correctamente.

El primer paso será actualizar el servidor y el software que proporciona TLS para, a continuación, deshabilitar las versiones 1.0 y 1.1 del protocolo. También habrá que editar el fichero de configuración del servidor para forzar el uso de las últimas versiones de TLS. Para ello, se puede utilizar una herramienta que facilita la fundación Mozilla y que permite generar configuraciones de manera automática.

Como referencia para el personal especializado, la fundación OWASP ha publicado un documento donde se describen las medidas de seguridad a tener en cuenta para configurar una implementación segura de TLS.

Página web ubicada en un proveedor de hosting

Cuando la página web se encuentra ubicada en una empresa externa la actualización debe ser realizada por el proveedor de servicios. En caso de que el proveedor se niegue a realizar la actualización o haga caso omiso a la demanda, se recomienda comprobar si se ha llegado a algún tipo de acuerdo a nivel de servicio (SLA, Service-Level Agreement) para solicitar algún tipo de indemnización. Asimismo, se recomienda proceder a migrar la web a otro proveedor que sí ofrezca garantías de seguridad y cumplimiento de acuerdos.

Certificados SSL y TLS, ¿qué diferencia hay?

Cuando se decide comprar un certificado de seguridad para que la página web utilice comunicaciones seguras a través de HTTPS, lo más común es encontrar diferentes ofertas en Internet que se promocionan como «Certificados SSL». Esto puede llevar a algunas confusiones, ya que, si el protocolo utilizado debe ser TLS, ¿por qué se promocionan como SSL?

SSL (Secure Sockets Layer) es el antecesor de TLS. Se trata de un protocolo cuya primera versión publicada fue la 2.0 en febrero del año 1995 (la primera no llegó a publicarse). Debido a los errores con los que contaba su diseño, en 1996 se liberó la versión 3.0. De esta última versión de SSL nace la primera versión de TLS en el año 1999, que es el actual protocolo utilizado en las páginas web HTTPS. El uso del protocolo SSL 3.0 está desaconsejado porque se han encontrado varias vulnerabilidades que podrían permitir a los ciberdelincuentes espiar las comunicaciones.

En resumen, la respuesta sencilla es que los certificados SSL que se anuncian, en realidad se deberían llamar «Certificados TLS», ya que el protocolo utilizado es este último, pero quizá por mantener parte de su origen o por costumbre de los usuarios, estos han seguido llamándose «Certificados SSL».

Comprueba que tu página web usa una versión correcta de TLS. De esta manera, protegerás tanto a tus clientes como a tu propia empresa y la imagen que ofrece al público.