Analizar certificado o protocolos

[nukeador]

Adicionalmente al análisis HTTPS de las webs, creo que hay dos factores muy importante a señalar sobre los sitios públicos de cara a la primavera de 2021.

• Uso de certificados de camefirma, el cual tanto Firefox como Chrome vetarán finalmente esta primavera.
• El uso de protocolos TLS inseguros que también van a ser eliminados de los navegadores (TLS 1.0 y TLS 1.1).

Hay un API para el observatorio TLS que nos puede dar estos datos para enriquecer nuestra información de los sitios:

https://tls-observatory.services.mozilla.com/static/ has an API https://github.com/mozilla/tls-observatory/blob/master/README.md#api-endpoints and a tab with html output on the top level observatory scan page https://observatory.mozilla.org/analyze/mozilla.org#tls

[adrm]

Entiendo que usar certs de Camerfirma es potencialmente inseguro, y por eso lo van a revocar los navegadores, pero tampoco veo un gran beneficio en que nuestro análisis diga que dentro de un mes se van a revocar, creo que ya es suficiente presión para esas webs saber que tienen dos meses para cambiar de proveedor. Si no cambian de proveedor, entiendo que el análisis que hacemos les dará la peor nota de todas al no poder siquiera iniciar una conexión https por tratar de establecerla con un certificado de una CA que deja de ser válida desde el momento que sea así.

[nukeador]

No tengo muy claro que sean consientes que si usan camefirma van a dejar de funcionar, lo mismo con solo soportar TLS viejos. Por eso creo que puede ser interesante visualizarlo para poderles avisar.

[Quemandoacromo]

Yo creo que es relevante y más cuando Mozilla o Google llevan desde 2017 avisando sobre "irregularidades" en los certificados emitidos por Camerfirma:

• CA:Camerfirma Issues (Mozilla)
• Las 26 razones por las que Chrome no confía en la CA española Camerfirma

[Keisial]

Los navegadores ya están rechazando Camerfirma.

Aqui hay dos tipos de cuestiones a medir:

• Uso de cifrados obsoletos (SSL 3, TLS 1.0...) que no aportan (suficiente) seguridad
• Uso de certficados no válidos o incorrectamente instalados (webs públicas con certificados autofirmados, expirados, firmados por CA internas o por una CA en la que ya no se confía como Camerfirma, sin certificados intermedios...). Un ciudadano debería poder tomar un ordenador recién formateado y acceder a cualquiera de estas webs sin errores (suponiendo que las versiones que use del navegador y SO tengan soporte y no estén ellas mismas obsoletas).

Podría considerarse también una clasificación intermedia de certificados que no aportan suficiente seguridad (digamos < 1024 bits RSA) pero se verían ya incluidos en el segundo punto, pues no serían firmados por una CA reconocida (o, al menos, no deberían, sería un incidente para esa CA).

[nukeador]

Gracias por las sugerencias, de momento nadie ha tenido tiempo para ponerse con esto. Lo dejamos abierto en la lista de deseos por si alguien tiene tiempo (ayuda bienvenida) :-)