en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Guía para TLS Cumplimiento de Normas

La seguridad de la capa de transporte (TLS) es el medio principal para proteger las comunicaciones de red a través de Internet. Este artículo es una breve guía que le ayudará a configurar un servidor seguro para cumplir con TLS normas

Introducción

El Transport Layer Security (TLS) El protocolo es el medio principal para proteger las comunicaciones de red a través de Internet. Él (y su predecesor, Capa de sockets seguros o SSL) se han utilizado durante décadas en muchas aplicaciones, pero sobre todo en los navegadores cuando visitan HTTPS sitios web. TLS Por lo general, funciona en silencio en segundo plano, pero al contrario de lo que uno podría pensar, TLS No es una caja negra que simplemente funciona. Más bien, la seguridad TLS proporciona surge de la cooperación de varios algoritmos criptográficos. Además, TLS, como SSL antes, evoluciona constantemente con la industria de la seguridad: se deben satisfacer las nuevas tecnologías y los requisitos comerciales, mientras que se deben mitigar las últimas amenazas de seguridad. Los algoritmos pueden volverse obsoletos con el tiempo, o las prácticas pueden abandonarse, y cada cambio afecta la seguridad general de un TLS instancia (como la que protege su conexión en este momento).

Esta volatilidad ha motivado a varias organizaciones de estándares a publicar documentos de pautas, de modo que una línea base mínima para TLS la seguridad podría establecerse en un mercado, sector o servicio en particular. Desafortunadamente, existen numerosas normas de este tipo, con diferentes sectores que requieren el cumplimiento de diferentes documentos aplicables, mientras que las normas mismas Además, evolucionar con el tiempo, acomodando los cambios en el sector para el que fueron diseñados.

Comprensiblemente, navegando a través de este mar de estándares para establecer un moderno TLS La instancia puede ser un verdadero dolor de cabeza para los administradores. Este artículo es una breve guía que le ayudará a configurar un servidor seguro para cumplir TLS estándares en 2021. (Para obtener más ayuda, también hemos proporcionado configuraciones de ejemplo de las soluciones de servidor web más populares en el apéndice.)

Los estandares

Hay varias entidades que mantienen pautas para TLS con respecto a la seguridad de la red, como el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) o el Instituto Nacional de Estándares y Tecnología (NIST). En aras de la brevedad, este artículo solo estudiará los tres documentos más adoptados:

  1. El Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA)
  2. NIST Directrices SP 800-52r2
  3. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS)

la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA, por sus siglas en inglés)

HIPAA es una regulación promulgada por el gobierno de los EE. UU. En 1996, relativa al manejo seguro de Información de salud protegida (FI). PHI se refiere a cualquier información digital del paciente, como resultados de pruebas o diagnósticos. UNA HIPAA documento guía publicado en 2013 establece lo siguiente:

Los procesos de cifrado válidos para los datos en movimiento son aquellos que cumplen, según corresponda, con las publicaciones especiales 800-52 del NIST, Directrices para la selección y el uso de la seguridad de la capa de transporte (TLS) Implementaciones; 800-77, Guía de VPN IPsec; o 800-113, Guía de VPN SSL, u otros que estén validados por los Estándares Federales de Procesamiento de Información (FIPS) 140-2.

NIST normas

En 2005, el NIST publicó la Publicación Especial (SP) 800-52, que describe los procedimientos operativos correctos para configurar de forma segura un TLS instancia para servidores gubernamentales. Desde entonces, SP 800-52 ha sido reemplazado por las versiones SP 800-52r1 (2014) y SP 80052r2 (2019). Este artículo sigue las pautas de SP 800-52r2, que actualmente es estable.

PCI-DSS

PCI-DSS es un estándar de cumplimiento mantenido por el Consejo de Seguridad de Estándares (SSC) de la Industria de Tarjetas de Pago (PCI) que establece cómo los sitios web de comercio electrónico manejan la información de pagos y tarjetas. En cuanto a la configuración adecuada de TLS instancias, PCI-DSS dice:

"Consulte los estándares de la industria y las mejores prácticas para obtener información sobre criptografía sólida y protocolos seguros (por ejemplo, NIST SP 800-52 y SP 800-57, OWASP, etc.)"

TLS estándares: poner todo esto junto

Cabe señalar a estas alturas que cada estándar afecta a diferentes sistemas, según su función y los datos que manejan. Por ejemplo, un servidor de correo electrónico de un hospital puede estar sujeto a las pautas de HIPAA porque los mensajes intercambiados pueden contener información del paciente, mientras que el sistema CRM del hospital puede estar incluido en PCI-DSS porque puede contener tarjetas de crédito y otros datos del cliente. Cumplir con los tres estándares requeriría el uso de TLS parámetros presentes en todos los documentos.

Afortunadamente, es evidente que todos los estándares siguen las pautas del NIST para la selección de TLS parámetros Esto significa que, al momento de escribir este artículo, cumplir con SP 800-52r2 debería hacer que un servidor también cumpla con HIPAA y PCI-DSS. (Ok, esto no es exactamente cierto, pero las cosas se aclararán en la siguiente sección).

configurable TLS parámetros

El nivel de seguridad que TLS proporciona es el más afectado por el versión de protocolo (es decir, 1.0, 1.1, etc.) y lo permitido suites de cifrado. Los cifrados son algoritmos que realizan cifrado y descifrado. Sin embargo, un conjunto de cifrado es un conjunto de algoritmos, que incluye un cifrado, un algoritmo de intercambio de claves y un algoritmo de hash, que se usan juntos para establecer un sistema seguro TLS conexión. Más TLS Los clientes y servidores admiten múltiples alternativas, por lo que deben negociar al establecer una conexión segura para seleccionar un común TLS versión y suite de cifrado.

TLS versión de protocolo

Referente TLS soporte de versión, NIST SP 800-52r2 establece lo siguiente:

Servidores que admiten aplicaciones solo gubernamentales deberá estar configurado para usar TLS 1.2 y debemos estar configurado para usar TLS 1.3 también. Estos servidores no debe estar configurado para usar TLS 1.1 y no debe utilizado TLS 1.0, SSL 3.0 o SSL 2.0.

...

Servidores que admiten aplicaciones para ciudadanos o empresas (es decir, es posible que el cliente no sea parte de un sistema de TI del gobierno) deberá estar configurado para negociar TLS 1.2 y debemos estar configurado para negociar TLS 1.3. El uso de TLS Las versiones 1.1 y 1.0 generalmente no se recomiendan, pero estas versiones pueden configurarse cuando sea necesario para permitir la interacción con ciudadanos y empresas ... Estos servidores no debe permitir el uso de SSL 2.0 o SSL 3.0.

Agencias deberá AYUDA TLS 1.3 antes del 1 de enero de 2024. Después de esta fecha, los servidores deberá AYUDA TLS 1.3 para aplicaciones tanto para el gobierno como para ciudadanos o empresas. En general, los servidores que admiten TLS 1.3 debemos estar configurado para usar TLS 1.2 también. Sin embargo, TLS 1.2 puede estar deshabilitado en servidores que admiten TLS 1.3 si se ha determinado que TLS 1.2 no es necesario para la interoperabilidad.

Aunque la TLS 1.0 está prohibido y TLS 1.1 está en desuso para sitios gubernamentales, las directrices de NIST establecen que, por compatibilidad con servicios de terceros, servidores controlados por el gobierno puede implementar TLS 1.0 y 1.1 cuando sea necesario. Bajo PCI-DSS 3.2.1 (la versión actual), servidores compatibles debe dejar caer el apoyo para TLS 1.0 y "migrar a un mínimo de TLS 1.1, preferiblemente TLS 1.2. ” HIPAA técnicamente permite el uso de todas las versiones de TLS. Por lo tanto, el mínimo comúnmente soportado TLS la versión es 1.1; sin embargo, PCI-DSS y NIST recomiendan encarecidamente el uso de las TLS 1.2 (y, como se vio anteriormente, NIST recomienda la adopción de TLS 1.3 y planes para requerir apoyo para 2024).

Suites de cifrado

TLS 1.2 y anteriores

SP 800-52r2 especifica una variedad de conjuntos de cifrado aceptables para TLS 1.2 y anteriores. El estándar no requiere soporte para ningún conjunto de cifrado en particular, pero ofrece orientación sobre cómo elegir los más fuertes:

  1. Prefiera claves efímeras sobre claves estáticas (es decir, prefiera DHE sobre DH y prefiera ECDHE sobre ECDH). Las claves efímeras proporcionan un perfecto secreto hacia adelante.
  2. Prefiere los modos GCM o CCM sobre el modo CBC. El uso de un modo de cifrado autenticado evita varios ataques (consulte la Sección 3.3.2 [de SP 800-52r2] para obtener más información). Tenga en cuenta que estos no están disponibles en versiones anteriores a TLS 1.2.
  3. Prefiere CCM sobre CCM_8. Este último contiene una etiqueta de autenticación más corta, que proporciona una fuerza de autenticación más baja.

Además, aunque estos son los permitido suites de cifrado, si su TLS El servidor no maneja una gran variedad de plataformas y clientes diferentes, se recomienda utilizar solo un pequeño subconjunto de estos algoritmos. Permitir más conjuntos de cifrado solo puede ampliar la superficie de ataque a su servidor si (o cuando) se descubre una nueva vulnerabilidad de protocolo.

Conjuntos de cifrado para certificados ECDSA
TLS 1.2:
IANAAhorroOpenSSL
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA2560xC0, 0x2BECDHE-ECDSA-AES128-GCM-SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA3840xC0, 0x2CECDHE-ECDSA-AES256-GCM-SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CCM0xC0, 0xACECDHE-ECDSA-AES128-CCM
TLS_ECDHE_ECDSA_WITH_AES_256_CCM0xC0, 0xAD ECDHE-ECDSA-AES256-CCM
TLS_ECDHE_ECDSA_WITH_AES_128_CCM_80xC0, 0xAEECDHE-ECDSA-AES128-CCM8
TLS_ECDHE_ECDSA_WITH_AES_256_CCM_80xC0, 0xAFECDHE-ECDSA-AES256-CCM8
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA2560xC0, 0x23ECDHE-ECDSA-AES128-SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA3840xC0, 0x24ECDHE-ECDSA-AES256-SHA384
TLS 1.2, 1.1 o 1.0:
IANAAhorroOpenSSL
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA0xC0, 0x09ECDHE-ECDSA-AES128-SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA0xC0, 0x0AECDHE-ECDSA-AES256-SHA
Conjuntos de cifrado para certificados RSA
TLS 1.2:
IANAAhorroOpenSSL
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA2560xC0, 0x2FECDHE-RSA-AES128-GCM-SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3840xC0, 0x30ECDHE-RSA-AES256-GCM-SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA2560x00, 0x9EDHE-RSA-AES128-GCM-SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA3840x00, 0x9FDHE-RSA-AES256-GCM-SHA384
TLS_DHE_RSA_WITH_AES_128_CCM0xC0, 0x9EDHE-RSA-AES128-CCM
TLS_DHE_RSA_WITH_AES_256_CCM0xC0, 0x9FDHE-RSA-AES256-CCM
TLS_DHE_RSA_WITH_AES_128_CCM_80xC0, 0xA2DHE-RSA-AES128-CCM8
TLS_DHE_RSA_WITH_AES_256_CCM_80xC0, 0xA3DHE-RSA-AES256-CCM8
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA2560xC0, 0x27ECDHE-RSA-AES128-SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA3840xC0, 0x28ECDHE-RSA-AES256-SHA384
TLS_DHE_RSA_WITH_AES_128_CBC_SHA2560x00, 0x67DHE-RSA-AES128-SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA2560x00, 0x6BDHE-RSA-AES256-SHA256
TLS 1.2, 1.1 o 1.0:
IANAAhorroOpenSSL
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA0xC0, 0x13ECDHE-RSA-AES128-SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA0xC0, 0x14ECDHE-RSA-AES256-SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA0x00, 0x33DHE-RSA-AES128-SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA0x00, 0x39DHE-RSA-AES256-SHA
Conjuntos de cifrado para certificados ECDSA
TLS 1.2:
IANAAhorroOpenSSL
TLS_DHE_DSS_WITH_AES_128_GCM_SHA2560x00, 0xA2DHE-DSS-AES128-GCM-SHA256
TLS_DHE_DSS_WITH_AES_256_GCM_SHA3840x00, 0xA3DHE-DSS-AES256-GCM-SHA384
TLS_DHE_DSS_WITH_AES_128_CBC_SHA2560x00, 0x40DHE-DSS-AES128-SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA2560x00, 0x6ADHE-DSS-AES256-SHA256
TLS 1.2, 1.1 o 1.0:
IANAAhorroOpenSSL
TLS_DHE_DSS_WITH_AES_128_CBC_SHA0x00, 0x32DHE-DSS-AES128-SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA0x00, 0x38DHE-DSS-AES256-SHA
Suites de cifrado para certificados DH
Firmado por DSA, TLS 1.2:
IANAAhorroOpenSSL
TLS_DH_DSS_WITH_AES_128_GCM_SHA2560x00, 0xA4DH-DSS-AES128-GCM-SHA256
TLS_DH_DSS_WITH_AES_256_GCM_SHA3840x00, 0xA5DH-DSS-AES256-GCM-SHA384
TLS_DH_DSS_WITH_AES_128_CBC_SHA2560x00, 0x3EDH-DSS-AES128-SHA256
TLS_DH_DSS_WITH_AES_256_CBC_SHA2560x00, 0x68DH-DSS-AES256-SHA256
Firmado por DSA, TLS 1.2, 1.1 o 1.0:
IANAAhorroOpenSSL
TLS_DH_DSS_WITH_AES_128_CBC_SHA0x00, 0x30DH-DSS-AES128-SHA
TLS_DH_DSS_WITH_AES_256_CBC_SHA0x00, 0x36DH-DSS-AES256-SHA
Firmado por RSA, TLS 1.2:
IANAAhorroOpenSSL
TLS_DH_RSA_WITH_AES_128_GCM_SHA2560x00, 0xA0DH-RSA-AES128-GCM-SHA256
TLS_DH_RSA_WITH_AES_256_GCM_SHA3840x00, 0xA1DH-RSA-AES256-GCM-SHA384
TLS_DH_RSA_WITH_AES_128_CBC_SHA2560x00, 0x3FDH-RSA-AES128-SHA256
TLS_DH_RSA_WITH_AES_256_CBC_SHA2560x00, 0x69DH-RSA-AES256-SHA256
Firmado por RSA, TLS 1.2, 1.1 o 1.0:
IANAAhorroOpenSSL
TLS_DH_RSA_WITH_AES_128_CBC_SHA0x00, 0x31DH-RSA-AES128-SHA
TLS_DH_RSA_WITH_AES_256_CBC_SHA0x00, 0x37DH-RSA-AES256-SHA
Conjuntos de cifrado para certificados ECDH
Firmado ECDSA, TLS 1.2:
IANAAhorroOpenSSL
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA2560xC0, 0x2DECDH-ECDSA-AES128-GCM-SHA256
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA3840xC0, 0x2EECDH-ECDSA-AES256-GCM-SHA384
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA2560xC0, 0x25ECDH-ECDSA-AES128-SHA256
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA3840xC0, 0x26ECDH-ECDSA-AES256-SHA384
Firmado ECDSA, TLS 1.2, 1.1 o 1.0:
IANAAhorroOpenSSL
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA0xC0, 0x04ECDH-ECDSA-AES128-SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA0xC0, 0x05ECDH-ECDSA-AES256-SHA
Firmado por RSA, TLS 1.2:
IANAAhorroOpenSSL
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA2560xC0, 0x31ECDH-RSA-AES128-GCM-SHA256
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA3840xC0, 0x32ECDH-RSA-AES256-GCM-SHA384
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA2560xC0, 0x29ECDH-RSA-AES128-SHA256
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA3840xC0, 0x2AECDH-RSA-AES256-SHA384
Firmado por RSA, TLS 1.2, 1.1 o 1.0:
IANAAhorroOpenSSL
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA0xC0, 0x0EECDH-RSA-AES128-SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA0xC0, 0x0FECDH-RSA-AES256-SHA

TLS 1.3

TLS 1.3 tiene una lista mucho más corta de conjuntos de cifrado:

  • TLS_AES_128_GCM_SHA256 (0x13, 0x01)
  • TLS_AES_256_GCM_SHA384 (0x13, 0x02)
  • TLS_AES_128_CCM_SHA256 (0x13, 0x04)
  • TLS_AES_128_CCM_8_SHA256 (0x13, 0x05)

Conclusión

Esperamos que esta breve guía lo ayude a comprender más sobre TLSy ayudarlo a configurar TLS en su propio servidor. Con respecto a los estándares y recomendaciones que hemos discutido, la siguiente sección contiene una configuración de ejemplo que debería poder aplicar a las soluciones de servidor web más populares. Si tiene alguna pregunta sobre cómo mantener su cumplimiento en línea, no dude en contactarnos enviando un correo electrónico Support@SSL.com o haciendo clic en el botón de chat en vivo en la parte inferior de esta pantalla.

Apéndice: Ejemplo TLS configuraciones

Recolectando las reglas establecidas en los tres documentos de especificación, un servidor seguro moderno debe implementar TLS 1.2 y / o TLS 1.3, con una lista corta pero diversa de conjuntos de cifrado seleccionados. Como referencia rápida, a continuación se muestran ejemplos de configuraciones para los servidores web más populares del mercado. Se trata de configuraciones "intermedias" (de uso general) generadas con el software de Mozilla Generador de configuración SSL:

APACHENginxlighttpdHAProxyAWS ELB

Servidor Apache HTTP

... SSLProtocol todo -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GDSA-SHA-CHA384: EC20 POLY1305: ECDHE-RSA-CHACHA20-POLY1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384 SSLHonorCipherOrder off SSLSessionTickets desactivados

Nginx

... ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

lighttpd

... ssl.openssl.ssl-conf-cmd = ("Protocolo" => "TODOS, -SSLv2, -SSLv3, -TLSv1, -TLSv1.1 ") ssl.cipher-list =" ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM- SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384 "ssl.honor-disable-order-order ="

HAProxy

...

ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 ssl-default-bind-options prefieren-client-ciphers no-sslv3 no-tlsv10 notlsv11 notls-tickets

ssl-default-server-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
ssl-default-server-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 ssl-default-server-options no-sslv3 no-tlsv10 notlsv11 notls-Entradas

AWS ELB

... Políticas: - PolicyName: Mozilla-interval-v5-0 PolicyType: SSLNegotiationPolicyType Atributos: - Nombre: Protocolo-TLSv1.2 Valor: verdadero - Nombre: Orden de cifrado definido por el servidor Valor: falso - Nombre: ECDHE-ECDSA-AES128-GCM-SHA256 Valor: verdadero - Nombre: ECDHE-RSA-AES128-GCM-SHA256 Valor: verdadero - Nombre: ECDHE-ECDSA-AES256-GCM-SHA384 Valor: verdadero - Nombre: ECDHE-RSA-AES256-GCM-SHA384 Valor: verdadero - Nombre: DHE-RSA-AES128-GCM-SHA256 Valor: verdadero - Nombre: DHE-RSA -AES256-GCM-SHA384 Valor: verdadero

Compartir en twitter
Twitter
Compartir en facebook
Facebook
Compartir en linkedin
LinkedIn
Compartir en Reddit
Reddit
Compartir en email
Correo electrónico