保護DataHogo
Enciclopedia de Seguridad/Headers e Infraestructura
highCWE-326A02:2021

Configuración SSL/TLS Débil

Servidor que acepta versiones obsoletas de TLS (TLS 1.0, TLS 1.1) o cipher suites débiles, habilitando ataques de downgrade que descifran tráfico supuestamente cifrado.

Cómo Funciona

TLS 1.0 y 1.1 tienen vulnerabilidades conocidas (POODLE, BEAST, CRIME). Si tu servidor sigue anunciando soporte para estos protocolos, un atacante puede forzar una degradación de conexión de TLS 1.3 a TLS 1.0 y luego explotar las debilidades del protocolo más viejo. NIST deprecó TLS 1.0 y 1.1 en 2021.

Código Vulnerable
# MAL: config de nginx soportando versiones viejas de TLS
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers 'ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP';
Código Seguro
# BIEN: solo TLS 1.2+ con ciphers fuertes
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers off;

Ejemplo Real

El ataque POODLE (CVE-2014-3566) explotó el soporte de SSL 3.0 que la mayoría de los servidores mantenían habilitado por 'compatibilidad'. Sitios que no lo habían deshabilitado años después de la divulgación seguían siendo vulnerables al descifrado de sesiones.

Cómo Prevenirlo

  • Deshabilita TLS 1.0 y TLS 1.1 en todos los servidores — solo permite TLS 1.2 y TLS 1.3
  • Usa cipher suites fuertes y deshabilita RC4, DES, 3DES y ciphers de grado export
  • Prueba tu configuración TLS en ssllabs.com/ssltest — apunta a una calificación A+
  • Usa el Generador de Configuración SSL de Mozilla (ssl-config.mozilla.org) para configs listas

Tecnologías Afectadas

nodejsnginxapache

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Falta el Header Content-Security-Policy

medium

El header Content-Security-Policy (CSP) está ausente, dejando a los navegadores sin instrucciones sobre qué fuentes de scripts, estilos y recursos confiar.

CWE-358A05:2021

Falta el Header X-Frame-Options

medium

El header X-Frame-Options está ausente, permitiendo a atacantes embeber tu app en un iframe invisible y engañar usuarios para que hagan clic en tus elementos de UI (clickjacking).

CWE-1021A05:2021

Falta el Header X-Content-Type-Options

low

El header X-Content-Type-Options: nosniff está ausente, permitiendo que los navegadores adivinen el tipo de contenido de una respuesta y potencialmente ejecuten contenido como script.

CWE-430A05:2021

Falta HTTP Strict Transport Security (HSTS)

medium

El header Strict-Transport-Security está ausente, permitiendo a los navegadores conectarse por HTTP plano y habilitando ataques de downgrade donde un atacante intercepta tráfico no cifrado.

CWE-319A02:2021