Use of deprecated TLS/SSL protocol version

Uso de Versión de Protocolo TLS/SSL Obsoleta

Risk: medium

Descripción

Existen seis protocolos en la familia SSL/TLS: SSL v2, SSL v3, TLS v1.0, TLS v1.1, TLS v1.2 y TLS v1.3:

• SSL v2 es inseguro y no debe utilizarse. Esta versión del protocolo puede atacar claves RSA y sitios con el mismo nombre utilizando el ataque DROWN.
• SSL v3 es inseguro cuando se usa con HTTP debido al ataque POODLE en SSLv3. El protocolo se considera débil cuando se usa con otros protocolos. El protocolo está obsoleto y no debe utilizarse.
• TLS v1.0 y TLS v1.1 son protocolos heredados que sufren el ataque BEAST. Aunque las implementaciones modernas han introducido algunas mitigaciones, el protocolo sigue presentando debilidades conocidas y ha sido declarado obsoleto por PCI DSS y los navegadores a partir de enero de 2020.
• No se conocen problemas de seguridad en TLS v1.2 y v1.3.

Recomendación

TLS v1.2 o TLS v1.3 debe ser el protocolo principal admitido, ya que esta versión ofrece un cifrado autenticado moderno.

Enlaces

• Obsolescencia de TLSv1.0 y TLSv1.1
• Mejores prácticas de implementación de SSL y TLS

Estándares

• OWASP_ASVS_L1:
  • V9_1_3
• OWASP_ASVS_L2:
  • V9_1_3
• OWASP_ASVS_L3:
  • V9_1_3
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_4_2
  • REQ_6_4
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_7
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213
  • SECURITY255
  • SECURITY258