30 marzo 2010

Cifrado mas robusto en Windows con Harden SSL

Según avanza la criptografía, los algoritmos diseñados van envejeciendo y como es lógico, algoritmos que hace unos años se les consideraba robustos, poco a poco dejan de serlo. Lamentablemente el usuario de productos 'finales' suele estar condenado a padecer un 'efecto-legacy' y forzado a convivir con productos que siguen empleando algoritmos desfasados en el tiempo.

Hace tiempo lanzamos FFHardener como herramienta para securizar instalaciones de Firefox y en el, hicimos especial hincapié en deshabilitar ciertos protocolos y algoritmos que distan mucho de ser recomendables para el uso de comunicaciones cifradas.

Tiempo atrás hablamos de un producto de G Sec que permite auditar un servidor HTTPs y localizar los algoritmos soportados (y hace mas tiempo hablamos de eso mismo y la administración pública).

Ahora es tiempo de presentar a 'Harden SSL' herramienta que permite re-configurar windows de forma que podamos seleccionar el uso / no uso de ciertos algoritmos criptográficos. Dado que Internet Explorer hace uso de las funciones nativas de Windows a la hora de emplear criptografía, los cambios hechos desde esta herramienta afectan a IE (google Chrome idem).


El uso de la herramienta es bastante intuitivo y simplemente hay que hacer doble click sobre el algoritmo sobre el que se quiera habilitar / deshabilitar.

Consejos:

Fuera SSL 1.0 / 2.0 (lo ideal es usar solo TLS, si algunas webs realmente obsoletas fallan, habilitar SSL 2.0)

Fuera RC4 y MD5

Como nota favorable sobre el producto, hay que señalar que permite realizar los cambios de la configuración en sistemas remotos (siempre y cuando tengas privilegios sobre ellos -obvio-)

2 comments :

Matias dijo...

solamente con destildar deja de usarlo? asi de simple, y utiliza otro? o pierde alguna funcionalidad el sacar el ssl v2?...

A ver si entendiendo bien, unicamente cuando tenga que cifrar por algun motivo, lo va hacer con el protocolo que deje habilitado?

Yago Jesus dijo...

@Matias, efectivamente, muchas de las aplicaciones nativas de Windows emplean el API criptográfica de Windows cuando van a emplear sesiones cifradas. Haciendo el cambio a nivel sistema-operativo, cualquier aplicación que haga uso de esas API, no podrá usar protocolos inseguros. Eso si, ojo con que algunas aplicaciones dejen de funcionar, si esto sucede, puede ser porque solo están preparadas para usar versiones obsoletas.