Con Harden SSL / TLS una aplicación que permite mejorar la seguridad de SSL / TLS de las versiones de Windows 2000, 2003, 2008, 2008 R2, XP, Vista y 7. Esta aplicación permite establecer a nivel local y remota políticas basadas en permitir o denegar ciertos hashes o conjuntos de cifrado, establecer prioridades y modificar parámetros de la caché de sesión TLS.
Harden SSL / TLS permite realizar políticas específicas de ajuste con respecto a los cifrados y los protocolos que estén disponibles para aplicaciones que utilizan el interfaz SCHANNEL de criptografía, ya sean aplicaciones cliente o servidor. Una gran cantidad de aplicaciones de Windows utilizan esta interfaz, por ejemplo: Google Chrome, Safari de Apple… Al cambiar la configuración indirectamente se puede controlar que cifrados pueden utilizar estas aplicaciones. Teniendo en cuenta que una aplicación puede solicitar un conjunto específico de sistemas de cifrado, y si se ha desactivado este conjunto ya no puede usarlo.
En el modo avanzado de esta aplicación permite:
Más información de Harden SSL / TLS:
- Habilitar el modo ECC P521; Microsoft eliminó el modo ECC P521 después de Vista y Server 2008, esta opción permite volver a habilitar y volver a introducir el modo ECC P521 para Windows 7 y Server 2008R2.
- Habilitar soporte módulo 1; Cuando un servidor Web utiliza un certificado con un exponente 1 de clave pública RSA, el exponente de la clave privada también se pone a 1. Si estas condiciones están presentes, la conexión no tiene la seguridad de encriptación. Al habilitar esta se configura el cliente para permitir una conexión a un servidor Web que utiliza un certificado con un exponente 1 de clave pública RSA.
- Modificar el tiempo de la cache TLS / SSL; Una de las razones para cambiar el valor predeterminado de la caché de sesión SSL es obligar al cliente a autenticar con más frecuencia. El frecuente almacenamiento en caché es útil a veces, por ejemplo, si se desea reducir el esfuerzo computacional o si se sabe que el cliente está utilizando una tarjeta inteligente y desea que la página web sea accesible sólo cuando el usuario inserta la tarjeta inteligente en el lector.
- Tamaño de la cache TLS / SSL; IIS mantiene los objetos en memoria para el seguimiento de cada conexión a la web de entrada. Después de cinco minutos de tiempo de inactividad, estos objetos son destruidos para reclamar los recursos. Durante este proceso, IIS purga el ID de sesión SSL / TLS de la tabla sesión ID de la caché del sistema operativo. IIS también purga toda la información de conexión que se negocia entre el cliente y el servidor. Cuando un cliente intenta reanudar una sesión de SSL / TLS mediante el identificador de sesión anterior, el servidor no puede encontrar la información de conexión en la memoria caché. Por lo tanto, el cliente debe renegociar la conexión. Además, el cliente debe obtener un nuevo identificador de sesión. El aumento del tamaño de la caché puede reducir la carga de la CPU, pero aumenta el uso de memoria, cada elemento de caché de la sesión normalmente requiere de 2 a 4 Kb de memoria.
http://www.g-sec.lu/sslharden/documentation.pdf
Descarga de Harden SSL / TLS:
http://www.g-sec.lu/sslharden/HardenSSL.zip
Seguridad en el protocolo SSL:
http://vtroger.blogspot.com/2011/02/seguridad-en-el-protocolo-ssl.html
Auditar seguridad de SSL:
http://vtroger.blogspot.com/2010/03/auditar-seguridad-de-ssl.html
Publicado por Alvaro Paz en http://vtroger.blogspot.com/2011/10/hardening-ssltls.html
Marcadores