Recomendaciones de implementación de HTTPS del Centro Criptológico Nacional

  • El CCN-CERT ha actualizado el informe de Buenas Prácticas BP/07 con recomendaciones para la implementación de HTTPS (diseño, configuración y mantenimiento) en los entornos web.

El Centro Criptológico Nacional (CCN) ha actualizado el nuevo informe de Buenas Prácticas BP/07 Recomendaciones de implementación de HTTPS en castellano, inglés y francés con el fin de concienciar acerca de la importancia del uso de comunicaciones web más seguras, que estén basadas únicamente en el protocolo HTTPS —frente a HTTP— y cuenten con mecanismos de autenticación, cifrado e integridad.

Este informe, debido a su carácter más técnico, está orientado a los administradores y/o responsables técnicos de seguridad de los entornos, servidores y aplicaciones web. Su principal cometido consiste en proporcionarles un conjunto detallado de pautas y recomendaciones técnicas de seguridad que les permitan aumentar el nivel de protección y de robustez de los servicios web en relación con la implementación y soporte disponible para el protocolo HTTPS, tanto desde el punto de vista de su diseño y configuración, como de su gestión diaria y mantenimiento.

La guía de Buenas Prácticas se encuentra dividida en cuatro capítulos relacionados con diferentes elementos, capacidades y funcionalidades asociadas a las implementaciones de HTTPS, incluyendo el acceso a través de los puertos TCP/IP asociados a los servicios web, la generación de las claves, la gestión de los certificados digitales y otras consideraciones asociadas a la infraestructura global de clave pública (PKI, Public Key Infrastructure) de Internet, los protocolos SSL y TLS y sus diferentes versiones, los algoritmos y las suites criptográficas, los mecanismos de revocación de certificados digitales, así como las recomendaciones para publicar los contenidos web y desplegar las aplicaciones web mediante HTTPS, entre otros.

En última instancia, el BP/07 comprende un decálogo de recomendaciones y tres anexos con el contenido siguiente: A) la relación de requisitos necesarios para analizar los sitios web HTTPS y evaluar el estado actual del ecosistema en el sector público, B) las suites criptográficas recomendadas para la configuración de la implementación de HTTPS y C) las referencias empleadas a lo largo del documento.

 

 

Más información: