Revisa los certificados SSL y vulnerabilidades en tu web

Revisa los certificados SSL y vulnerabilidades en tu web

Lorena Fernández

Las herramientas SSL Checker facilitan la revisión de los certificados SSL, además de orientarte para resolver los problemas que se podrían presentar. Los requisitos para comenzar a usarla no son demasiados, simplemente debes indicar la dirección de IP o el nombre de dominio de tu web. La herramienta que hayas elegido hará el análisis por ti respecto a su configuración y el nivel de seguridad de tu web.

Cómo verificar los certificados SSL

Internet nos ofrece un gran abanico de posibilidades en cuanto a herramientas y servicios. Podemos comprobar muchos aspectos relacionados con la seguridad también. En este sentido podemos ver si una web es fiable, si tiene instalado correctamente el certificado SSL. Para ello podemos hacer uso de diferentes herramientas online que vamos a mostrar.

¿Qué es un certificado SSL? Básicamente podemos decir que es un estándar de seguridad global que permite que los datos transferidos al navegar vayan cifrados correctamente. Evita que la información enviada entre un navegador y un servidor pueda ser filtrada. Es igual que al utilizar una herramienta de mensajería instantánea y que esté cifrada de extremo a extremo, ningún posible intruso tendría capacidad para leer lo que se envía. En este caso es igual, pero al enviar datos entre una página y un servidor.

Por ejemplo cuando vayamos a iniciar sesión en un sitio web es importante que tenga certificado SSL. De esta forma nuestra información irá cifrada correctamente. Evitaremos así problemas que afecten a nuestra privacidad.

Existen varias herramientas web que puedes utilizar para poder revisar rápidamente el estado SSL de tu servidor web. Si estás a cargo de un sitio web, no sólo debes preocuparte por el rendimiento aplicando herramientas de balanceo de carga, por ejemplo. Así también, debes considerar las medidas de seguridad aplicadas al mismo. A continuación, vamos a citar algunas de las herramientas de revisión SSL más completas a las cuales pueden acceder sin requisitos previos, es decir, sin necesidad de darnos de alta en el servicio.

Una ventaja interesante respecto a estas herramientas es que muchas de ellas pertenecen a compañías especializadas en seguridad. Por lo que, dichas herramientas actúan como un puente para los potenciales interesados en utilizar otras soluciones. Sugerimos echar un vistazo a las otras soluciones ofrecidas de manera a ampliar nuestra suite de herramientas de gestión de servidor web. ¿Manejas servidores web en Linux? En RedesZone hemos creado una guía completa de hardening de servidores Linux con las prácticas esenciales a aplicar.

Qualys SSL Labs

Sólo es necesario acceder al portal oficial de Qualys SSL Labs, ingresar el nombre de dominio que deseas consultar y, en un par de minutos, la revisión ya estará lista. SSL Labs se caracteriza por tener un gran nivel de detalle en relación a todos los datos que despliega respecto a la configuración general del dominio y su estado SSL. En principio, aparece un gráfico de resumen en donde indica la letra que califica al dominio. En el caso del ejemplo, cuenta con una calificación de B en el cual los gráficos indican que hay oportunidades de mejora para el Protocol Support (Soporte de Protocolos).

Así también sabemos qué versiones de TLS soporta el servidor web que lo aloja. En este caso, las versiones soportadas son 1.0 y 1.1. Sin embargo, debería agregar el soporte para la versión 1.3.

Más abajo, vemos detalles del servidor y el certificado que está cifrado con el robusto algoritmo RSA de 2048 con SHA256.

Como vemos, el texto resaltado de color verde nos indica que el certificado que cuenta es de confianza.

Continuando con el recorrido de los resultados, vemos que hay un resumen de la configuración del servidor web. Este resumen comienza a detallar respecto al soporte de los protocolos TLS y SSL. Este caso nos cuenta que el servidor soporta las versiones 1.0, 1.1, 1.2 y 1.3 del protocolo TLS. Sin embargo, el texto en amarillo apunta a las versiones 1.0 y 1.1 las cuales se consideran como obsoletas. Esta sería la razón por la cual este dominio no tiene una calificación A. Debería soportar únicamente las versiones más recientes.

En relación al protocolo SSL, no tiene soporte alguno, lo cual es algo bueno ya que se considera deprecated.

Llegando al final de los resultados, vemos más detalles respecto a los protocolos soportados y no soportados.

Al final del reporte de los resultados aparece una ficha final en donde indica la fecha y la hora en que se realizó la prueba, su duración, su código de estado HTTP y más.

Namecheap SSL Checker

Esta es una de las herramientas web disponibles para tener un mayor control de gestión de tu dominio web. Namecheap SSL Checker no precisa de demasiados requisitos previos, sólo del dominio y el número del puerto por el cual se realizará la prueba. Generalmente, las pruebas se hacen a través del puerto 443.

Recordemos que el puerto 443 es utilizado por los servidores web para proveer tráfico web HTTPS de forma más segura y privada. Esto, a través de los protocolos SSL o TLS. Además, este puerto es utilizado por algunos servicios de VPN para pasar por encima limitaciones impuestas por reglas de firewall.

Al comienzo del reporte de los resultados, te da un panorama inicial acerca del estado. El dominio consultado que se utilizó para el ejemplo no contó con problemas detectados. Más abajo, podemos ver información relacionada al DNS. Por ejemplo, la dirección de IP por el cual se resuelve el dominio y la dirección de Reverse IP lookup.

También se puede ver un listado de los SANs asociados. Pero, ¿qué significa SAN? Son las siglas en inglés de Subject Alternative Name. Se refiere a una manera estructurada de indicar todos los nombres de dominio y direcciones de IP que están asociados al certificado. Esto significa que un mismo certificado puede albergar a múltiples dominios.

Al final de cada prueba, se deja un ejemplo del handshake del protocolo OpenSSL. El mismo nos da una demostración de cómo el cliente y el servidor web negocian para llegar a la instancia de la autenticación. Esto, para garantizar que la comunicación entre ambas partes en relación a las solicitudes web se den de manera segura y privada.

Recomendación: puedes ejecutar tus pruebas mucho más rápidamente editando la url:

https://decoder.link/sslchecker/amazon.com/443

Unicamente debes añadir la barra «/» seguido del dominio a consultar, luego una barra derecha más «/» y finalmente el número de puerto «443». Después, lo pegas en la barra de direcciones del navegador y listo. Ya puedes acceder a la web de SSL Checker con los resultados de tu prueba disponibles.

DigiCert SSL Installation Diagnostics Tool

Además de saber respecto al estado SSL de tu dominio web, puede realizar una revisión en búsqueda de vulnerabilidades conocidas. Sólo debes ingresar el nombre de dominio, hacer clic en la opción de revisión de vulnerabilidades comunes y ya puedes empezar. En relación a las demás herramientas citadas y tantas otras, provee todos los datos esenciales respecto al status SSL de tu servidor web.

Certificado SSL con IONOS

Una opción que tenemos es la de utilizar el certificador SSL de IONOS. Es totalmente gratuito y muy sencillo de utilizar. Simplemente tenemos que entrar en su página web, en el apartado de SSL checker, y veremos una barra para poner una dirección cualquiera.

Allí tenemos que poner el dominio web que nos interesa conocer si realmente tiene cifrado SSL y obtener más información. Lo escribimos, le damos a comprobar página web y después de unos segundos nos mostrará todo lo necesario.

En nuestro ejemplo hemos analizado RedesZone. Como vemos nos indica que el certificado SSL está instalado correctamente, así como no nos muestra ninguna advertencia ni error. Además, debajo veremos algo más de información, como por ejemplo que el servidor utiliza certificado DV.

Verificar un certificado SSL

Certificado SSL con site24x7

Otra opción que tenemos es la de utilizar la web site24x7. Su funcionamiento es muy sencillo. Simplemente tenemos que poner el dominio que nos interesa, le damos a comprobar y nos mostrará información al respecto.

Este sitio nos indica si el certificado SSL está instalado correctamente, la fecha de expiración así como otros datos que pueden ser de interés para los usuarios. Podemos verificar cualquier página web que nos interese.

Site24x7

Un punto común de este tipo de herramientas es que eres libre de probar el dominio que quieras. Independientemente, de si sea tuyo o de terceros. Sin embargo, se recomienda tratar la información obtenida mediante los resultados con precaución. Por desgracia, estas informaciones ya son de gran utilidad para los cibercriminales y así, llevar a cabo ciberataques comunes a los servidores web como los DDoS.

Como administradores de sistemas o servidores web, la ejecución de estas pruebas deben realizarse de manera periódica. Sobre todo, si se ha hecho mantenimiento del servidor en cualquier aspecto de su infraestructura. Gran parte de las herramientas muestran, por ejemplo, datos respecto a la vigencia de los certificados SSL. Si es que el servidor web llega a operar con certificados vencidos, el mismo se encuentra grandiosamente expuesto múltiples vulnerabilidades.