En 2021, proteger su sitio web con SSL /TLS el certificado ya no es opcional, incluso para empresas que no tratan directamente con información confidencial de clientes en la web. Los motores de búsqueda como Google utilizan la seguridad del sitio como una señal de clasificación de SEO, y los navegadores web populares como Chrome alertan a los usuarios sobre sitios web que no utilizan HTTPS:
Sin embargo, la perspectiva de configurar sus servidores web y aplicaciones para usar SSL /TLS El protocolo correctamente puede resultar abrumador, ya que hay muchas opciones arcanas de configuración y diseño que tomar. Esta guía proporciona una descripción general rápida de los puntos principales a tener en cuenta al configurar SSL /TLS para su sitio web, centrándose tanto en la seguridad como en el rendimiento. Todavía hay mucho que cubrir solo con lo básico, por lo que lo hemos dividido en una serie de pasos.
Elija una autoridad de certificación confiable (CA)
Sus certificados son tan confiables como la CA que los emite. Todas las CA de confianza pública están sujetas a rigurosas auditorías de terceros para mantener su posición en los principales sistemas operativos y programas de certificados raíz del navegador, pero algunas son mejores para mantener ese estado que otras. Busque una CA que (como SSL.com):
- Realiza la mayor parte de su negocio en el campo de la confianza pública PKI. Estas empresas tienen más que perder si salen a la luz prácticas de seguridad deficientes y mucho que ganar si se mantienen al día con los estándares de la industria en evolución.
- Responde de manera eficiente y efectiva a los descubrimientos de vulnerabilidades que afectan la seguridad y privacidad del usuario, como la industria número de serie entropía edición de principios de 2019. Búsqueda en foros de la industria como mozilla.dev.seguridad.policy puede darle una buena idea sobre cómo una CA en particular reacciona a la adversidad.
- Ofrece productos y servicios útiles, como certificados de validación extendida (EV), emisión de certificados masiva / automatizada a través de un intuitivo API o Protocolo ACME, servicios sencillos de supervisión y gestión del ciclo de vida de los certificados, y SOPORTE para la integración con una extensa lista de soluciones de terceros.
- Tiene una reputación de excelente servicio al cliente y soporte técnico. Mantener el sitio web de su empresa seguro el 100% del tiempo es importante, y necesita poder llamar a un verdadero experto por teléfono cuando las cosas van mal.
Autorización de Autoridad de Certificación (CAA)
Autorización de Autoridad de Certificación (CAA) es un estándar para proteger sitios web mediante la designación de CA específicas que pueden emitir certificados para un nombre de dominio. Una vez que haya elegido una CA, debe considerar configurar registros CAA para autorizarlo.
Genere y asegure sus claves privadas
El SSL /TLS protocolo utiliza una par de llaves para autenticar identidades y encriptar información enviada por Internet. Uno de estos (el Llave pública) está destinado a una amplia distribución, y el otro (el llave privada) debe mantenerse de la forma más segura posible. Estas claves se crean juntas cuando genera un Solicitud de firma de certificado (CSR). Aquí hay algunos consejos para tener en cuenta con respecto a sus claves privadas:
- Use claves privadas fuertes: Las claves más grandes son más difíciles de descifrar, pero requieren más sobrecarga informática. Actualmente, se recomienda al menos una clave RSA de 2048 bits o una clave ECDSA de 256 bits, y la mayoría de los sitios web pueden lograr una buena seguridad al tiempo que optimizan el rendimiento y la experiencia del usuario con estos valores.Nota: para obtener una descripción general de estos dos algoritmos, consulte el artículo de SSL.com, Comparando ECDSA vs RSA.
- Proteja sus claves privadas:
- Genere sus propias claves privadas en un entorno seguro y confiable (preferiblemente en el servidor donde se implementarán o un dispositivo compatible con FIPS o Common Criteria). Nunca permitir que una CA (o cualquier otra persona) genere claves privadas en su nombre. Una CA pública de buena reputación, como SSL.com, nunca ofrecerá generar o manejar sus claves privadas a menos que se generen en un token de hardware seguro o HSM y no sean exportables.
- Solo dé acceso a claves privadas según sea necesario. Generar nuevas claves y revocar todos los certificados para las claves antiguas cuando los empleados con acceso a clave privada abandonen la empresa.
- Renueve los certificados con la mayor frecuencia posible (al menos una vez al año sería bueno), preferiblemente utilizando una clave privada recién generada cada vez. Herramientas de automatización como Protocolo ACME son útiles para programar renovaciones frecuentes de certificados.
- Si una clave privada ha sido (o podría haber sido) comprometida, revocar todos los certificados para esta clave, genere un nuevo par de claves y emita un nuevo certificado para el nuevo par de claves.
Configure su servidor
En la superficie, instalar un SSL /TLS certificado puede parecer una operación sencilla; sin embargo, todavía hay muchas decisiones de configuración que deben tomarse para garantizar que su servidor web sea rápido y seguro, y que los usuarios finales tengan una experiencia fluida libre de errores y advertencias del navegador. A continuación, se muestran algunos consejos de configuración que le ayudarán a encaminarse al configurar SSL /TLS en sus servidores:
- Asegúrese de que todos los nombres de host estén cubiertos: ¿Su certificado cubre el nombre de dominio de su sitio con y sin el
www
¿prefijo? Hay un Nombre alternativo del sujeto (SAN) para cada nombre de dominio que el certificado pretende proteger? - Instalar cadenas de certificados completas: SSL de entidad final /TLS los certificados generalmente están firmados por certificados intermedios en lugar de la clave raíz de una CA. Asegúrese de que los certificados intermedios estén instalados en su servidor web para proporcionar a los navegadores una completa ruta de certificación y evitar advertencias y errores de confianza para los usuarios finales. Su CA podrá proporcionarle los intermediarios necesarios; Los clientes de SSL.com pueden utilizar nuestro Descarga de certificado intermedio página para recuperar paquetes intermedios para muchas plataformas de servidor.
- Usar SSL actual /TLS Protocolos (TLS 1.2 o 1.3): A finales de 2018, todos los principales proveedores de navegadores anunciaron planes para desaprobar TLS 1.0 y 1.1 para el primer semestre de 2020. Google TLS v1.0 y v1.1 en Chrome 72 (lanzado el 30 de enero de 2919). Las versiones 84 de Chrome (lanzadas el 14 de julio de 2020) y superiores presentan una advertencia intersticial para estos protocolos, y se admitirá completamente eliminado en mayo de 2021. Compatibilidad generalizada con el navegador de SSL /TLS las versiones, como SSL v3, ya no existen. Mientras TLS 1.2 es actualmente la versión más utilizada de SSL /TLS protocolo, TLS 1.3 (la última versión) es ya soportado en las versiones actuales de la mayoría de los principales navegadores web.
- Use una lista corta de suites de cifrado seguro: Elija solo conjuntos de cifrado que ofrezcan encriptación de al menos 128 bits, o más fuertes cuando sea posible. El Instituto Nacional de Estándares y Tecnología (NIST) también recomienda que todos TLS las implementaciones se alejan de los conjuntos de cifrado que contienen el cifrado DES (o sus variantes) a los que utilizan AES. Finalmente, el uso de solo un pequeño subconjunto de conjuntos de cifrado potencialmente aceptables minimiza la superficie de ataque de vulnerabilidades aún no descubiertas. El apéndice de SSL.com Guía para TLS Cumplimiento de Normas proporciona configuraciones de ejemplo para las plataformas de servidor web más populares, utilizando TLS 1.2.Nota: El uso de cifras inseguras y obsoletas (como RC4) puede causar errores de seguridad del navegador, como
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
en Google Chrome - Utilice el secreto directo (FS): También conocido como perfecto secreto hacia adelante (PFS), FS asegura que una clave privada comprometida no comprometerá también claves de sesión anteriores. Para habilitar FS:
- Configurar TLS 1.2 para utilizar el algoritmo de intercambio de claves Diffie-Hellman de curva elíptica (EDCHE) (con DHE como respaldo), y evite el intercambio de claves RSA por completo si es posible.
- Utilice la herramienta TLS 1.3. TLS 1.3 proporciona secreto para todos TLS sesiones a través de la Efímero Diffie-Hellman (EDH o DHE) protocolo de intercambio de claves.
- permitir TLS Reanudación de sesión: De manera similar al uso de keepalives para mantener conexiones TCP persistentes, TLS La reanudación de la sesión permite que su servidor web realice un seguimiento de SSL /TLS sesiones y reanudarlas, evitando la sobrecarga computacional de la negociación de clave de sesión.
- Considere grapar OCSP: Grapado OCSP permite que los servidores web entreguen información de revocación en caché directamente al cliente, lo que significa que un navegador no tendrá que ponerse en contacto con un servidor OCSP para comprobar si se ha revocado el certificado de un sitio web. Al eliminar esta solicitud, el grapado OCSP ofrece un aumento real del rendimiento. Para obtener más información, lea nuestro artículo, Optimización de carga de página: grapado OCSP.
Utilice las mejores prácticas para el diseño de aplicaciones web
Diseñar sus aplicaciones web teniendo en cuenta la seguridad es tan importante como configurar correctamente su servidor. Estos son los puntos más importantes para asegurarse de que sus usuarios no estén expuestos a hombre en el medio ataques, y que su aplicación obtenga los beneficios de SEO que vienen con las buenas prácticas de seguridad:
- Eliminar contenido mixto: Los archivos JavaScript, las imágenes y los archivos CSS deben todos ser accedido con SSL /TLS. Como se describe en el artículo de SSL.com, HTTPS en todas partessirviendo contenido mixto ya no es una forma aceptable de aumentar el rendimiento del sitio web y puede generar advertencias de seguridad del navegador y problemas de SEO.
- Use cookies seguras: Configurando el
Secure
La marca en las cookies impondrá la transmisión a través de canales seguros (por ejemplo, HTTPS). También puede evitar que JavaScript del lado del cliente acceda a las cookies a través deHttpOnly
marcar y restringir el uso de cookies entre sitios con elSameSite
bandera. - Evaluar código de terceros: Asegúrese de comprender los riesgos potenciales de utilizar bibliotecas de terceros en su sitio web, como la posibilidad de introducir inadvertidamente vulnerabilidades o código malicioso. Siempre verifique la confiabilidad de terceros lo mejor que pueda y vincule a todos los códigos de terceros con HTTPS. Finalmente, asegúrese de que valga la pena correr el riesgo de beneficiarse de cualquier elemento de terceros en su sitio web.
Verifique su trabajo con herramientas de diagnóstico
Después de configurar SSL /TLS en su servidor y sitio web o haciendo cualquier cambio de configuración, es importante asegurarse de que todo esté configurado correctamente y su sistema sea seguro. Hay numerosas herramientas de diagnóstico disponibles para verificar el SSL /TLS. Por ejemplo, SSL Shopper's Verificador SSL le permitirá saber si su certificado está instalado correctamente, cuándo caducará y mostrará el certificado cadena de confianza.
Hay otras herramientas y aplicaciones en línea disponibles que rastrearán su sitio buscando problemas de seguridad como contenido mixto. También puede verificar el contenido mixto con un navegador web utilizando sus herramientas de desarrollador integradas:
Independientemente de las herramientas que elija, también es importante establecer un horario para verificar su SSL /TLS instalacion y configuracion. Su CA también puede ayudarlo con esto; por ejemplo, para comodidad de nuestros clientes, SSL.com proporciona avisos automáticos de vencimiento inminente del certificado.
Manténgase alerta ante nuevas vulnerabilidades
La seguridad web es un objetivo en constante movimiento, y siempre debe estar atento al próximo ataque y aplicar rápidamente parches de seguridad en su servidor. Esto significa leer y mantenerse en contacto con lo que se avecina en lo que respecta a la seguridad de la información, así como estar al tanto de las actualizaciones de software, especialmente las críticas. Sitio web de SSL.com (donde está leyendo esto ahora mismo) es una excelente fuente para mantenerse actualizado sobre SSL /TLS y seguridad de la información.
Pero que pasa…?
Si desea saber más sobre cualquiera de los temas cubiertos en esta guía y aprender sobre nuevos problemas y tecnologías a medida que surgen, puede comenzar navegando y buscando en SSL.com. Biblioteca de Conocimiento, que mantenemos actualizado semanalmente con novedades en el campo de SSL /TLS y PKI. También puede comunicarse con nuestro personal de soporte en cualquier momento por correo electrónico a Support@SSL.com, por teléfono en 1-877-SSL-Secureo haciendo clic en el enlace de chat en la parte inferior derecha de esta página.
SSL.com proporciona una amplia variedad de SSL /TLS certificados de servidor para sitios web HTTPS.