Hace ya algún tiempo en el blog Security by default vi un artículo sobre la seguridad actual sobre el protocolo SSL.
Realicé un analisis a una de mis web’s para comprobar si tenía alta o baja la seguridad.
El resultado fue el siguiente:
La nota que daba era de 48. Un buen suspenso por así decirlo. El problema estaba en la utilización de protocolos antiguos ó inseguros y cifrados también bajos.
Me puse a investigar como poder modificar los «cipher suites» de un IIS y no encontré mucha documentación al respecto. En un primer momento encontré un artículo de Microsoft que explicaba como modificarlos editando el registro.
Aún así no me quedó muy claro y seguí mirando más web’s y foros.
Acabé encontrando la siguiente web (http://www.g-sec.lu/) donde tenian un par de utilidades muy interesantes para hacer la tarea de desactivación de protocolos y cifrados de manera sencilla.
SSL Audit (alpha)
Una utilidad que nos hace un resumen de nuestros protocolos y cifrados. Se puede utilizar tanto de forma local como ON Line.
Author : Thierry ZOLLER for G-SEC
Download: SSL Audit (alpha)
Download: Documentation
Una vez analizado el site que queremos modificar, nos sacaría por pantalla algo como la siguiente captura:
Observamos que en nuestro caso, tenemos SSL v2.0 que a día de hoy es inseguro y encima tenemos cifrados débiles (por ejemplo los de 56bits).
Harden SSL/TLS (beta)
Esta utilidad es la que nos va a ayudar a desactivar esas opciones de forma fácil.
Author: Thierry ZOLLER for G-SEC
Download: Harden TLS/SSL (beta)
Download: Documentation
Una vez iniciamos el programa nos detectará también todo lo que tenemos activado o desactivado.
Todo aquel protocolo o cifrado que queramos desactivar, solo tenemos que hacer click 2 veces sobre Enabled para que quede desactivado. El ejemplo en la siguiente captura.
Una vez reiniciado el servidor para asegurarnos que aplica bien las claves de registro, volvemos a hacer un escaneado con SSL Audit. Observamos que si todo ha funcionado bien, debería sacarnos por pantalla solo lo que no habíamos desactivado.
Una vez finalizados todos estos pasos volví a realizar un test On Line desde la web donde daba nota. La mejoría fue considerable.