Outdated SSL/TLS Protocols Supported

Protocolos SSL/TLS obsoletos compatibles

Riesgo: medio

Descripción

Esta vulnerabilidad indica que el servidor admite uno o más protocolos SSL/TLS obsoletos. Estos protocolos tienen vulnerabilidades de seguridad conocidas y se consideran inseguros para el uso moderno.

Los protocolos obsoletos pueden incluir: - SSLv2 - SSLv3 - TLSv1.0 - TLSv1.1

Estos protocolos tienen varias debilidades que pueden ser explotadas por atacantes, lo que podría provocar:

1. Ataques de intermediario (MitM)
2. Descifrado de comunicaciones cifradas
3. Compromisos de integridad de datos
4. Ataques de degradación que fuerzan el uso de protocolos más débiles

Ejemplo de escenario: Un atacante podría explotar la vulnerabilidad POODLE en SSLv3 para descifrar información sensible transmitida a través de una conexión cifrada. Esto podría llevar a la exposición de credenciales de inicio de sesión, tokens de sesión u otros datos confidenciales.

Admitir estos protocolos obsoletos también viola varios estándares de seguridad y mejores prácticas, lo que podría afectar el cumplimiento de normativas como PCI-DSS.

Recomendación

Para mitigar los riesgos asociados con protocolos SSL/TLS obsoletos, considere las siguientes recomendaciones:

1. Deshabilitar protocolos obsoletos:
2. Deshabilite el soporte para SSLv2, SSLv3, TLSv1.0 y TLSv1.1 en todos los servidores y aplicaciones.

3. Habilite solo TLSv1.2 y TLSv1.3, que actualmente se consideran seguros.

4. Actualizar bibliotecas SSL/TLS:

5. Asegúrese de que todas las bibliotecas y implementaciones SSL/TLS estén actualizadas con los últimos parches de seguridad.

6. Considere usar bibliotecas TLS modernas que tengan configuraciones predeterminadas seguras y que se mantengan activamente.

7. Configurar conjuntos de cifrado fuertes:

8. Use conjuntos de cifrado fuertes que admitan Secreto Perfecto Hacia Adelante (PFS).

9. Deshabilite cifrados y funciones hash débiles (por ejemplo, RC4, MD5, SHA1).

10. Implementar una configuración TLS segura:

11. Siga las mejores prácticas de la industria para la configuración TLS, como las proporcionadas por el Generador de Configuración SSL de Mozilla o la Hoja de Referencia TLS de OWASP.

12. Pruebe regularmente su configuración TLS utilizando herramientas como la Prueba de Servidor SSL de SSL Labs.

13. Utilizar HTTP Strict Transport Security (HSTS):

14. Implemente HSTS para asegurar que los clientes siempre se conecten a su servidor utilizando HTTPS, previniendo ataques de degradación.

15. Considerar TLS 1.3:

16. Si es posible, habilite el soporte para TLS 1.3, que ofrece seguridad y rendimiento mejorados sobre TLS 1.2.

Enlaces

• Pautas del NIST para implementaciones TLS
• Hoja de referencia de protección de la capa de transporte de OWASP

Estándares

• SOC2_CONTROLS:
  • CC_6_7
  • CC_7_1
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_32
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213
  • SECURITY255
  • SECURITY258
• PCI_STANDARDS:
  • REQ_2_3
  • REQ_4_1
  • REQ_6_5