Cuando un portal web despliega una configuración SSL TLS, no solo debe tener en cuenta el certificado digital utilizado, sino también la suite de cifrados a utilizar, si tenemos habilitado Perfect Forward Secrecy, si activamos HTTP Strict Transport Security e incluso si tenemos HTTP Public Key Pinning en nuestro servidor. Hoy en día existen herramientas online para comprobar la seguridad de nuestro servidor web con TLS activado, os presentamos la herramienta de HTBridge.

Una de las mejores herramientas que hay hoy en día para comprobar la seguridad SSL TLS de una página web es la de Qualys SSL Labs, gracias a su herramienta SSL Server Test que es completamente gratuita. De hecho, en RedesZone ya analizamos en su día esta herramienta y os enseñamos las principales características:

Si quieres comprobar la seguridad y la compatibilidad de los diferentes protocolos con tu navegador web, puedes visitar el siguiente artículo donde explicamos en detalle qué tenéis que hacer:

Herramienta de HTBridge

Podemos acceder a la herramienta gratuita de HTBridge desde este enlace, una vez que estemos dentro, únicamente tendremos que poner el nombre de dominio de nuestra web. También tendremos la posibilidad de poner la dirección IP y el puerto si queremos escanear otro tipo de servicio como un servidor de correo electrónico. Si por ejemplo tenemos una web que en lugar de funcionar en el puerto por defecto 443, usa otro puerto como el 4444, también podremos escanearlo introduciendo la dirección IP y a continuación el puerto.

Nosotros como ya tenemos activado SSL TLS en RedesZone, vamos a comprobar qué valoración nos da esta herramienta con la configuración que tenemos aplicada actualmente. Lo primero que hacemos es introducir el dominio, como nosotros usamos el puerto por defecto 443 no tenemos que definirlo

En todo el Grupo ADSLZone tenemos activado un CDN, por lo que las webs se sirven desde distintos servidores a lo largo de España y del mundo. No obstante, tenemos la misma configuración en todos los nodos, por tanto, para saber si tenemos una configuración segura basta con escanear uno de ellos.

Una vez que hayamos pulsado en “Yes”, la herramienta online se pondrá a escanear la seguridad SSL TLS de nuestra web, probando diferentes tipos de cifrado, examinando nuestro certificado digital etc.

Tarda un minuto en escanear nuestra configuración SSL TLS, una vez que ha terminado nos mostrará un resumen. En este resumen veremos la valoración de la herramienta, la fecha del test y también nos da la posibilidad de descargar en PDF todo el informe de seguridad. Otro detalle importante es que nos dice que tenemos PFS activado y que además damos prioridad a estas conexiones, la parte negativa es que usamos una suite de cifrados que no están aprobados por el NIST.

Si hacemos scroll veremos que también examina en detalle el certificado digital del servidor, en este caso el certificado es de Let’s Encrypt con RSA de 2048 bits y un algoritmo de firma de SHA256, lo estándar hoy en día para navegación web.

También encontramos los diferentes protocolos compatibles con nuestra web, y es que actualmente es compatible con TLS 1.0, 1.1 y 1.2, todos ellos utilizan una suite de cifrado seguros, sin usar RC4 en ninguno de ellos ya que no se considera seguro hoy en día. También encontramos los tipos de curvas elípticas que soporta el servidor, así como si es vulnerable a ataques tan conocidos como POODLE, HEARTBLEED y otros. Al estar actualizados a la última versión tanto del sistema operativo, servidor web y librería criptográfica, todos estos fallos no nos afectan.

Algunas mejoras que debemos realizar es incorporar HSTS y HPKP, de esta manera protegeremos más las comunicaciones que vosotros hacéis con nosotros.

Una de las características que más nos ha gustado de esta herramienta es que nos permite descargar un PDF con todo el informe que ha realizado en menos de un minuto, ideal para tener en cuenta las mejoras que debemos realizar.

Os recomendamos acceder a la herramienta gratuita de HTBridge desde este enlace,asimismo también podéis visitar nuestra sección de seguridad informática donde encontraréis una gran cantidad de información sobre cómo protegeros en Internet.