Inspector SSL/TLS

El análisis cubre cinco áreas críticas de la configuración TLS de un servidor: • Certificado X.509 — Validez temporal (fechas de emisión y expiración), Common Name (CN), organización emisora, Subject Alternative Names (SANs), tipo y tamaño de clave (RSA 2048/4096, ECDSA P-256/P-384), número de serie y fingerprints SHA-1/SHA-256. Un certificado expirado o con CN incorrecto genera una calificación F inmediata. • Cadena de confianza — Recorrido completo desde el certificado del servidor, pasando por los certificados intermedios, hasta el root CA. Se detectan certificados autofirmados, cadenas incompletas y CAs no reconocidas. Una cadena rota impide que los navegadores confíen en el certificado. • Protocolos TLS — Prueba individual de TLS 1.0, 1.1, 1.2 y 1.3 mediante conexiones separadas. TLS 1.0 y 1.1 están obsoletos (RFC 8996, marzo 2021) y su presencia penaliza la calificación. TLS 1.3 es el estándar recomendado por su handshake más rápido (1-RTT vs 2-RTT) y cipher suites más seguras. • Cipher suite — El cipher negociado en la conexión actual, incluyendo nombre estándar IANA, nombre OpenSSL y versión del protocolo. Cipher suites con CBC mode o sin forward secrecy se consideran débiles. • Cabeceras HTTP de seguridad — HSTS (Strict-Transport-Security) con verificación de max-age, includeSubDomains y preload. También Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy.

La calificación va de A+ (100 puntos) a F (menos de 40 puntos). El cálculo parte de 100 y descuenta según las deficiencias encontradas: • Certificado no confiable: -30 puntos. Incluye certificados autofirmados, expirados, o con CN que no coincide con el dominio consultado. • Certificado expirado: -40 puntos adicionales. Un certificado expirado es la falla más crítica posible. • Expiración próxima (<7 días): -20 puntos. Entre 7 y 30 días: -10 puntos. • Clave RSA menor a 2048 bits: -20 puntos. Las claves de 1024 bits se consideran criptográficamente inseguras desde 2013. • TLS 1.0 habilitado: -15 puntos. Vulnerable a BEAST, POODLE y otros ataques conocidos. • TLS 1.1 habilitado: -10 puntos. Obsoleto, sin soporte en navegadores modernos desde 2020. • TLS 1.3 no soportado: -10 puntos. Es el protocolo recomendado para todas las implementaciones nuevas. • Sin HSTS: -10 puntos. HSTS con max-age menor a 6 meses: -5 puntos. Escala: A+ (95-100), A (85-94), B (70-84), C (55-69), D (40-54), F (0-39).

Para obtener una calificación A+ se recomienda: 1. Usar certificados de Let's Encrypt (gratuitos, renovación automática cada 90 días) o de una CA comercial reconocida. 2. Deshabilitar TLS 1.0 y TLS 1.1 completamente. Habilitar TLS 1.2 y TLS 1.3. 3. Usar claves RSA de 2048 bits mínimo (4096 bits preferible) o ECDSA P-256/P-384. 4. Configurar HSTS con max-age de al menos 31536000 (1 año), includeSubDomains y preload. 5. Implementar cipher suites con forward secrecy (ECDHE) y AEAD (AES-GCM, ChaCha20-Poly1305). 6. Incluir todos los dominios y subdominios en los SANs del certificado. 7. Mantener la cadena de certificados completa (servidor + intermedios).