Cuando compras un certificado SSL y lo instalas en tu propio servidor virtual o dedicado, si ejecuta el escaneo en la herramienta web:
https://cryptoreport.thawte.com/checker/views/certCheck.jsp, el informe muestra la siguiente advertencia :
“The server is vulnerable to a BEAST attack”
¿Porqué sucede esto?Esto no debe considerarse una limitación del certificado elegido o del servidor, lo que ocurre es que en el servidor todos los protocolos de cifrado generalmente están habilitados, incluidos los protocolos más antiguos y menos seguros que admite el certificado instalado. Esto es así para garantizar la compatibilidad con versiones anteriores en casos de uso particulares.
SOLUCIONESSegún el sistema operativo y el servidor web instalado, existen varias soluciones para aumentar el nivel de seguridad de la conexión SSL eliminando los protocolos que ya no son seguros y limitando el uso de su certificado SSL solo en los más seguros.
Solución Linux Apache:Edita el archivo ubicado en /etc/apache2/mods-available/ssl.conf, y agrega o cambia los siguientes valores, después, reinicia apache:
# The protocols to enable.
SSLProtocol all
SSLHonorCipherOrder on
SSLCipherSuite ALL:+HIGH:!ADH:!EXP:!SSLv2:!SSLv3:!MEDIUM:!LOW:!NULL:!aNULL
SSLCompression off
SSLSessionTickets off
Solución Linux Nginx Edita el archivo de configuración del host virtual del sitio ubicado en /etc/nginx/sites-available/*.conf, y agrega o cambia los siguientes valores, en la sección del servidor {}, después, reinicia Nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ALL:+HIGH:!ADH:!EXP:!SSLv2:!SSLv3:!MEDIUM:!LOW:!NULL:!aNULL';
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_prefer_server_ciphers on;
Linux Plesk:
Inicia sesión en ssh en el servidor y desde el shell ejecuta el siguiente comando:
plesk sbin pci_compliance_resolver --enable all
La explicación completa se puede encontrar en el blog de soporte de Plesk:
https://docs.plesk.com/en-US/onyx/advanced-administration-guide-linux/pci-dss-compliance/tune-plesk-to-meet-pci-dss-on-linux.65871/
Windows con o sin Plesk:Descarga la herramienta IISCrypto de NartacSoftware desde la siguiente dirección:
https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exeEste software nos permitirá modificar la configuración de IIS de forma visual sin modificar manualmente las claves de registro de Windows.
Cambia la configuración como se muestra en la siguiente pantalla, presiona APLICAR y reinicia el sistema:
Al completar la configuración correcta, puedes volver a intentar ejecutar el escaneo en la herramienta web:
https://cryptoreport.thawte.com/checker/views/certCheck.jsp y el resultado ya no indicará advertencias ni información de ninguna vulnerabilidad.
>>> ¿QUIERES QUE INSTALEMOS TU CERTIFICADO SSL POR TI?
Infórmate ahora del servicio de instalación de certificados de seguridad de Asistencia Premium.