Archivo

Archive for 15 junio 2011

Como averiguar el nivel de seguridad SSL de una página web (HTTPs)

15/06/2011 4 comentarios

En anteriores artículos os he explicado qué tipos de cifrados asimétricos, simétricos, y de autenticación (hash) podemos encontrarnos.

Os he explicado en muchas ocasiones que conectándonos a través de SSL estamos más seguros en la red que no haciéndolo.

También informé sobre la herramienta de Google para acelerar el SSL, y sobre la implementación de SSL en Youtube, en Facebook y en Twitter.

Ahora os traigo una pequeña página web que analiza la seguridad de la página web (en lo que al SSL se refiere).

Es capaz de decirnos sus puntos fuertes y sus puntos débiles. Al final del escáner nos muestra los resultados y nos da una puntuación.

A continuación tenéis la web y unas capturas de pantalla para que lo veáis. Nos metemos en esta web: Qualys SSL Labs

Metemos la dirección de la página web y pinchamos en el botón Submit, si la página web ya está analizada (de un análisis anterior), nos mostrará los resultados inmediatamente.

En esta pantalla encontramos información sobre el certificado, cuando expira, la llave utilizada (key) y el algoritmo. Como ejemplo he usado mi banco, Google y mi propio blog… a continuación algunos pantallazos.

En la siguiente captura podéis ver los protocolos y cifrados que soportan, soportar más protocolos no es sinónimo de una mayor seguridad, justo al contrario.

Se deberían deshabilitar esos protocolos antiguos, por suerte, Facebook no usa ninguno antiguo (luego veremos que hay otras webs que sí).

Y aquí tenemos en lo que casi todos fallan, la renegociación TLS, donde lo han deshabilitado para esquivar el bug del TLS-renegotiation. Otros simplemente lo tienen activado…con el bug.

Sin embargo, la web de Google, cumple con todo lo establecido, o sea perfecta.

Ahora ya podremos saber de una manera más técnica si una web con SSL es más segura que otra, sobre todo podéis mirar la seguridad de los bancos y plataformas de pago que es donde la seguridad es lo más importante.

Enlaces de interés:

  1. Twitter implementa HTTPs por defecto para proteger nuestra seguridad y privacidad
  2. Youtube empieza a usar el protocolo HTTPS (SSL) para conexiones cifradas en sus vídeos
  3. Facebook permite conexiones HTTPS siempre que nos conectemos
  4. Ciberataque a RSA : Roban información de la división de seguridad de EMC
  5. Redes Sociales : Seguridad y privacidad
A %d blogueros les gusta esto: