Configurando el servidor web para HTTPS
Continuando con mi anterior articulo “Instalar certificado ssl gratuito con Let’s encrypt”; una vez obtenido el certificado, toca configurar el servidor para adquirir una cierta seguridad, ya os adelanto que la seguridad perfecta no existe.
No voy a entrar en la configuración exacta de mi servidor, simplemente hay herramientas online que permiten testear tu servidor, en este artículo voy hablaros de una de ellas.
A mí me gusta usar esta herramienta de SSL LABS ya que te da bastante información y muy bien presentada. El la primera visual despues de escanear te muestra un grafico con un resumen y una calificación.
En este caso he puesto un servidor que tiene la nota más alta A+; en la siguiente imagen tenemos información de la configuración del servidor con respecto a los protocolos y los cifrados.
Y en la siguiente tenemos una simulación de dispositivos que serian compatibles con estos protocolos y cifrados, en este caso versiones antiguas de Android como la 4.3 e inferiores no estarían soportadas por la configuración.
Con lo cual es una decisión que tenemos que tomar a la hora de configurar el servidor, si hacemos el servidor compatible con dispositivos viejos, tendremos que utilizar protocolos y cifrados viejos y posiblemente vulnerables a ataques. La herramienta de SSL LABS también os da más información como vulnerabilidades.
Aquí pongo un ejemplo de una mala configuración de un servidor, ya que a pesar de tener un certificado válido, tiene configurado unos protocolos y unos cifrados totalmente vulnerables a ataques.
Bien aquí os dejo el resumen de mi configuración, cuenta con HSTS y con TLS 1.3.”
16/08/2018