Tutorial: Configurar SSL/TLS en AL2023 - Amazon Linux 2023

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Configurar SSL/TLS en AL2023

SSL/TLS (Secure Sockets Layer/Transport Layer Security) crea un canal cifrado entre un servidor web y el cliente web que protege los datos en tránsito del acceso no autorizado. En este tutorial se explica cómo añadir manualmente la compatibilidad con SSL/TLS en una instancia EC2 con AL2023 y el servidor web Apache. En este tutorial, se presupone que no está utilizando un balanceador de carga. Si utiliza Elastic Load Balancing, puede elegir configurar la descarga SSL en el balanceador de carga, mediante un certificado de AWS Certificate Manager en su lugar.

Por motivos históricos, el cifrado web se suele denominar simplemente SSL. Aunque los navegadores web siguen admitiendo SSL, el protocolo que lo ha sustituido, TLS, es menos vulnerable a los ataques. De forma predeterminada, el AL2023 desactiva la compatibilidad del lado del servidor para todas las versiones de SSL. Organismos de estándares de seguridad consideran que TLS 1.0 no es seguro. TLS 1.0 y TLS 1.1 han quedado formalmente obsoletos en marzo de 2021. Este tutorial contiene asesoramiento basado exclusivamente en la habilitación de TLS 1.2. TLS 1.3 se finalizó en 2018 y está disponible en AL2 siempre que se admita y habilite la biblioteca TLS subyacente (OpenSSL en este tutorial). Los clientes deben ser compatibles con TLS 1.2 o una versión posterior antes del 28 de junio de 2023. Para obtener más información sobre el estándar de cifrado actualizado, consulte RFC 7568 y RFC 8446.

Este tutorial se refiere a un cifrado web moderno tan simple como TLS.

importante

Estos procedimientos están diseñados para usarse con el AL2023. Si intenta configurar una instancia de EC2 que ejecute una distribución diferente o una instancia que ejecute una versión anterior de Amazon Linux, es posible que algunos procedimientos de este tutorial no funcionen. Para Ubuntu, consulte la siguiente documentación de la comunidad Ubuntu: Open SSL on Ubuntu (Abrir SSL en Ubuntu). Para Red Hat Enterprise Linux, consulte lo siguiente: Configuración del servidor web HTTP Apache. Para otras distribuciones, consulte su documentación específica.

nota

Como alternativa, puede usar AWS Certificate Manager (ACM) para los enclaves de AWS Nitro, que es una aplicación de enclave que le permite usar certificados SSL/TLS públicos y privados con sus aplicaciones web y servidores que se ejecutan en instancias de Amazon EC2 con Nitro Enclaves. AWS Nitro Enclaves es una capacidad de Amazon EC2 que permite la creación de entornos informáticos aislados para proteger y procesar de forma segura información confidencial, como certificados SSL/TLS y claves privadas.

ACM para Nitro Enclaves funciona con nginx ejecutándose en su instancia de Amazon EC2 Linux para crear claves privadas, distribuir certificados y claves privadas y para administrar las renovaciones de certificados.

Para utilizar ACM para Nitro Enclaves, debe utilizar una instancia Linux habilitada para enclave.

Para obtener más información, consulte ¿Qué es Nitro Enclaves? AWS y AWS Certificate Manager para ver Nitro Enclaves en la Guía del usuario de AWS Nitro Enclaves.

Requisitos previos

Siga estos pasos antes de comenzar este tutorial:

  • Lance una instancia AL2023 respaldada por EBS. Para obtener más información, consulte AL2023 en Amazon EC2.

  • Configure los grupos de seguridad para que la instancia acepte conexiones en los siguientes puertos TCP:

    • SSH (puerto 22)

    • HTTP (puerto 80)

    • HTTPS (puerto 443)

    Para obtener más información, consulte Autorizar el tráfico entrante para sus instancias de Linux en la Guía del usuario de Amazon EC2.

  • Instale el servidor web Apache. Para obtener step-by-step instrucciones, consulte. Tutorial: Instalar un LAMP servidor en AL2 023 Solo es necesario el paquete httpd y sus dependencias; por lo que puede omitir las instrucciones relacionadas con PHP y MariaDB.

  • Para identificar y autenticar sitios web, la infraestructura de clave pública (PKI) de TLS se basa en el sistema de nombres de dominio (DNS). Si tiene pensado utilizar la instancia EC2 para alojar un sitio web público, tiene que registrar un nombre de dominio para el servidor web o transferir un nombre de dominio existente al host de Amazon EC2. Para hacer esto, hay disponibles numerosos servicios de registro de dominios y alojamiento de DNS de terceros o bien puede utilizar Amazon Route 53.

Paso 1: Habilitar TLS en el servidor

Este procedimiento le guiará por el proceso de configuración de TLS en el AL2023 con un certificado digital autofirmado.

nota

Se puede utilizar un certificado autofirmado para las pruebas, pero no para la producción. Si expone a Internet su certificado autofirmado, los visitantes del sitio recibirán advertencias de seguridad.

Para habilitar TLS en un servidor
  1. Conéctese a su instancia y confirme que Apache se está ejecutando. Para obtener más información, consulte Conexión a AL2 023 instancias.

    [ec2-user ~]$ sudo systemctl is-enabled httpd

    Si el valor devuelto no es "enabled", inicie Apache y configúrelo para que se inicie cada vez que arranque el sistema.

    [ec2-user ~]$ sudo systemctl start httpd && sudo systemctl enable httpd
  2. Para asegurarse de que todos los paquetes de software están actualizados, realice una actualización rápida del software en la instancia. Este proceso puede durar unos minutos, pero es importante realizarlo para asegurarse de que tiene las actualizaciones de seguridad y las correcciones de errores más recientes.

    nota

    La opción -y instala las actualizaciones sin necesidad de confirmación. Si le gustaría examinar las actualizaciones antes de la instalación, puede omitir esta opción.

    [ec2-user ~]$ sudo dnf install openssl mod_ssl
  3. Después de ingresar el siguiente comando, se lo dirigirá a un mensaje donde podrá ingresar información sobre su sitio.

    [ec2-user ~]$ sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/apache-selfsigned.key -out /etc/pki/tls/certs/apache-selfsigned.crt

    Esto genera un nuevo archivo apache-selfsigned.crt en el directorio /etc/pki/tls/certs/. El nombre de archivo especificado coincide con el valor predeterminado que se ha asignado en la directiva SSLCertificateFile en /etc/httpd/conf.d/ssl.conf.

    La instancia tiene ahora los archivos siguientes que utiliza para configurar el servidor seguro y crear un certificado para pruebas:

    • /etc/httpd/conf.d/ssl.conf

      El archivo de configuración para mod_ssl. Contiene directivas que le indican a Apache donde encontrar claves de cifrado y certificados, las versiones de protocolo TLS que se permiten y los cifrados que se aceptan. Este será el archivo de certificado local:

    • /etc/pki/tls/certs/apache-selfsigned.crt

    Este archivo contiene un certificado autofirmado y la clave privada del certificado. Apache requiere que el certificado y la clave estén en formato PEM que consta de caracteres ASCII codificados en Base64 contenidos entre las líneas "BEGIN" y "END", como en el siguiente ejemplo abreviado.

    -----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQD2KKx/8Zk94m1q 3gQMZF9ZN66Ls19+3tHAgQ5Fpo9KJDhzLjOOCI8u1PTcGmAah5kEitCEc0wzmNeo BCl0wYR6G0rGaKtK9Dn7CuIjvubtUysVyQoMVPQ97ldeakHWeRMiEJFXg6kZZ0vr GvwnKoMh3DlK44D9dX7IDua2PlYx5+eroA+1Lqf32ZSaAO0bBIMIYTHigwbHMZoT ... 56tE7THvH7vOEf4/iUOsIrEzaMaJ0mqkmY1A70qQGQKBgBF3H1qNRNHuyMcPODFs 27hDzPDinrquSEvoZIggkDMlh2irTiipJ/GhkvTpoQlv0fK/VXw8vSgeaBuhwJvS LXU9HvYq0U6O4FgD3nAyB9hI0BE13r1HjUvbjT7moH+RhnNz6eqqdscCS09VtRAo 4QQvAqOa8UheYeoXLdWcHaLP -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIIEazCCA1OgAwIBAgICWxQwDQYJKoZIhvcNAQELBQAwgbExCzAJBgNVBAYTAi0t MRIwEAYDVQQIDAlTb21lU3RhdGUxETAPBgNVBAcMCFNvbWVDaXR5MRkwFwYDVQQK DBBTb21lT3JnYW5pemF0aW9uMR8wHQYDVQQLDBZTb21lT3JnYW5pemF0aW9uYWxV bml0MRkwFwYDVQQDDBBpcC0xNzItMzEtMjAtMjM2MSQwIgYJKoZIhvcNAQkBFhVy ... z5rRUE/XzxRLBZOoWZpNWTXJkQ3uFYH6s/sBwtHpKKZMzOvDedREjNKAvk4ws6F0 CuIjvubtUysVyQoMVPQ97ldeakHWeRMiEJFXg6kZZ0vrGvwnKoMh3DlK44D9dlU3 WanXWehT6FiSZvB4sTEXXJN2jdw8g+sHGnZ8zCOsclknYhHrCVD2vnBlZJKSZvak 3ZazhBxtQSukFMOnWPP2a0DMMFGYUHOd0BQE8sBJxg== -----END CERTIFICATE-----

    Los nombres y las extensiones de los archivos se utilizan simplemente por comodidad y no afectan al funcionamiento. Por ejemplo, puede llamar a un certificado cert.crt, cert.pem, o cualquier otro nombre de archivo, siempre que la directiva relacionada en el archivo ssl.conf utilice el mismo nombre.

    nota

    Cuando sustituya los archivos TLS predeterminados por sus propios archivos personalizados, asegúrese de que estén en formato PEM.

  4. Reinicie Apache.

    [ec2-user ~]$ sudo systemctl restart httpd
    nota

    Asegúrese de que el puerto 443 de TCP sea accesible en la instancia EC2, tal y como se ha explicado anteriormente.

  5. Ahora el servidor web de Apache debería admitir HTTPS (HTTP seguro) en el puerto 443. Pruébelo escribiendo la dirección IP o el nombre completo de dominio de la instancia EC2 en la barra URL del navegador con el prefijo https://.

    Dado que se va a conectar a un sitio con un certificado de host autofirmado que no es de confianza, es posible que el navegador envíe una serie de advertencias de seguridad. Omita las advertencias y vaya al sitio.

    Si se abre la página de prueba de Apache predeterminada, eso significa que ha configurado correctamente TLS en el servidor. Ahora todos los datos que pasan entre el navegador y el servidor se cifran.

    nota

    Para evitar que los visitantes del sitio reciban pantallas de advertencia, tiene que obtener un certificado de confianza firmado por una CA que no solo cifre, sino que también le autentique públicamente como propietario del sitio.

Paso 2: Obtener un certificado firmado por una CA

Puede utilizar el siguiente proceso para obtener un certificado firmado por una CA:

  • Genere una solicitud de firma de certificado (CSR) de una clave privada

  • Envie el CSR a una autoridad de certificación (CA)

  • Obtenga un certificado de host firmado

  • Configure Apache para utilizar el certificado

Un certificado de host TLS X.509 autofirmado es idéntico, desde el punto de vista criptográfico, a un certificado firmado por una CA. La diferencia es social, no matemática. Una CA promete, como mínimo, validar la propiedad de un dominio antes de emitir un certificado para el solicitante. Para ello, cada navegador web contiene una lista de CA de confianza del proveedor del navegador. Un certificado X.509 consta principalmente de una clave pública, que se corresponde con la clave del servidor privado, y una firma de la CA que está vinculada criptográficamente a la clave pública. Cuando un navegador se conecta a un servidor web a través de HTTPS, el servidor presenta un certificado al navegador para que lo compruebe en su lista de CA de confianza. Si el signatario está en la lista o se puede obtener acceso a él a través de una cadena de confianza compuesta por otros signatarios de confianza, el navegador negocia un canal de datos cifrados rápido con el servidor y carga la página.

Generalmente, los certificados cuestan dinero por el trabajo que supone la validación de las solicitudes, por lo que vale la pena comparar precios. Hay varias CA que ofrecen certificados básicos de manera gratuita. La más famosa de estas CA es la del proyecto Let's Encrypt, que también permite la automatización del proceso de creación y renovación del certificado. Para obtener más información acerca del uso del certificado Let's Encrypt, consulte Obtenga Certbot.

Si planea ofrecer servicios de calidad comercial, AWS Certificate Manager es una buena opción.

La clave es hacer que el certificado del host esté subyacente. Desde 2019, grupos del gobierno y el sector recomiendan utilizar un tamaño mínimo de clave (módulo) de 2048 bits para claves RSA destinadas a proteger documentos hasta 2030. El tamaño de módulo predeterminado generado por OpenSSL en AL2023 es de 2048 bits, lo que resulta adecuado para su uso en un certificado firmado por una autoridad certificadora. En el siguiente procedimiento, se proporcionó un paso opcional para aquellos que deseasen una clave personalizada, por ejemplo, una con un módulo mayor o que utilice un algoritmo de cifrado diferente.

importante

Estas instrucciones para adquirir un certificado de host firmado por una CA no funcionan a menos que posea un dominio DNS alojado y registrado.

Para obtener un certificado firmado por una CA
  1. Conéctese a la instancia y vaya a /etc/pki/tls/private/. Este es el directorio donde almacena la clave privada del servidor para TLS. Si prefiere utilizar una clave de host existente para generar el CSR, vaya al paso 3. Para obtener más información sobre cómo conectarse a su instancia, consulte Conexión a AL2 023 instancias

  2. (Opcional) Genere una nueva clave privada. Estas son algunas ejemplos de configuraciones clave. Cualquiera de las claves resultantes funciona con el servidor web, pero son diferentes en el grado y el tipo de seguridad que implementan.

    • Ejemplo 1: cree una clave de host RSA predeterminada. El archivo resultante, custom.key, es una clave privada RSA de 2048 bits.

      [ec2-user ~]$ sudo openssl genrsa -out custom.key
    • Ejemplo 2: cree una clave RSA más segura con un módulo mayor. El archivo resultante, custom.key, es una clave privada RSA de 4096 bits.

      [ec2-user ~]$ sudo openssl genrsa -out custom.key 4096
    • Ejemplo 3: cree una clave RSA cifrada de 4096 bits con protección con contraseña. El archivo resultante, custom.key, es una clave privada RSA de 4096 bits cifrada con AES-128.

      importante

      El cifrado de la clave ofrece mayor seguridad, pero dado que una clave cifrada necesita una contraseña, los servicios que dependen de él no se pueden iniciar automáticamente. Cada vez que utilice esta clave, tiene que proporcionar la contraseña (en el ejemplo anterior "abcde12345") en una conexión SSH.

      [ec2-user ~]$ sudo openssl genrsa -aes128 -passout pass:abcde12345 -out custom.key 4096
    • Ejemplo 4: cree una clave con un cifrado que no sea RSA. La criptogarfía RSA puede ser relativamente lenta debido al tamaño de sus claves públicas, que se basan en el producto de dos números primos grandes. Sin embargo, es posible crear claves para TLS que utilicen cifrados que no sean RSA. Las claves que están basadas en el cálculo matemático de curvas elípticas son más pequeñas y más rápidas desde el punto de vista informático a la hora de proporcionar un nivel de seguridad equivalente.

      [ec2-user ~]$ sudo openssl ecparam -name prime256v1 -out custom.key -genkey

      El resultado es una clave privada de curva elíptica de 256 bits que utiliza prime256v1, una "curva con nombre" que admite OpenSSL. Su seguridad criptográfica es ligeramente mayor que la de una clave RSA de 2048 bits, de acuerdo con NIST.

      nota

      No todas las CA ofrecen el mismo nivel de compatibilidad con las elliptic-curve-based claves que con las claves RSA.

    Asegúrese de que la nueva clave privada posee una propiedad y unos permisos muy restrictivos (propietario=raíz, grupo=raíz, lectura/escritura solo para el propietario). Los comandos serán como se muestra en el siguiente ejemplo.

    [ec2-user ~]$ sudo chown root:root custom.key [ec2-user ~]$ sudo chmod 600 custom.key [ec2-user ~]$ ls -al custom.key

    Los comandos anteriores devuelven el siguiente resultado.

    -rw------- root root custom.key

    Una vez que haya creado y configurado una clave satisfactoria, puede crear una CSR.

  3. Para crear una CSR, utilice su clave preferida. El siguiente ejemplo utiliza custom.key.

    [ec2-user ~]$ sudo openssl req -new -key custom.key -out csr.pem

    OpenSSL abre un cuadro de diálogo y le pide la información que se muestra en la siguiente tabla. Todos los campos, excepto Common Name (Nombre común), son opcionales para un certificado de host de dominio validado básico.

    Nombre Descripción Ejemplo
    Country Name La abreviatura ISO de dos letras del país. US (= Estados Unidos)
    State or Province Name Nombre del país o de la región donde se ubica su organización. Este nombre no se puede abreviar. Washington
    Locality Name La ubicación de su organización, como una ciudad. Seattle
    Organization Name Nombre legal completo de su organización. No abrevie el nombre de la organización. Empresa de ejemplo
    Organizational Unit Name Información adicional de la organización, si existe. Departamento de ejemplo
    Common Name

    Este valor debe ser exactamente igual que la dirección web que espera que introduzcan los usuarios en un navegador. Normalmente, tiene que ser un nombre de dominio precedido por un nombre de host o alias con el formato www.example.com. Para realizar pruebas con un certificado autofirmado y sin resolución de DNS, el nombre común puede constar únicamente del nombre de host. Las CA también disponen de certificados más caros que aceptan nombres con comodines, como *.example.com.

    www.ejemplo.com
    Email Address Dirección de correo electrónico del administrador del servidor. alguien@ejemplo.com

    Por último, OpenSSL le solicita una contraseña de comprobación opcional. Esta contraseña solo se aplica a la CSR y a las transacciones entre usted y la CA, así que siga las recomendaciones de la CA a este respecto y el otro campo opcional, es decir, el nombre de empresa opcional. La contraseña de comprobación de CSR no afecta al funcionamiento del servidor.

    El archivo resultante, csr.pem contiene la clave pública, la firma digital de la clave pública y los metadatos que ha especificado.

  4. Envíe la CSR a una CA. Este proceso suele consistir en abrir el archivo CSR en un editor de texto y copiar el contenido en un formulario web. Es posible que, en este momento, se le solicite que introduzca uno o varios nombres de asunto alternativos (SAN) para que aparezcan en el certificado. Si el nombre común es www.example.com, example.com sería un buen SAN y viceversa. Un visitante de su sitio que introdujese cualquiera de estos nombres no recibiría ningún error de conexión. Si el formato web de la CA lo permite, incluya el nombre común en la lista de SAN. Algunas CA lo incluyen automáticamente.

    Una vez aprobada su solicitud, recibe un nuevo certificado de host firmado por la CA. Es posible que también tenga que descargar un archivo de certificado intermedio que contiene los certificados adicionales necesarios para completar la cadena de confianza de la CA.

    nota

    La CA puede enviarle archivos en diversos formatos destinados a diversos fines. Para este tutorial, solo debe utilizar un archivo de certificado en formato PEM, que normalmente (aunque no siempre) está marcado con la extensión de archivo .pem o .crt. Si no tiene claro qué archivo debe utilizar, abra los archivos con un editor de texto y busque el que contiene uno o varios bloques que comienzan con la siguiente línea.

    - - - - -BEGIN CERTIFICATE - - - - -

    El archivo debería terminar también con la siguiente línea.

    - - - -END CERTIFICATE - - - - -

    También puede probar el archivo en la línea de comandos, tal y como se muestra a continuación.

    [ec2-user certs]$ openssl x509 -in certificate.crt -text

    Verifique que estas líneas aparecen en el archivo. No utilice archivos que terminen con .p7b, .p7c o extensiones de archivos similares.

  5. Coloque el nuevo certificado firmado por la CA y cualquier certificado intermedio en el directorio /etc/pki/tls/certs.

    nota

    Hay varias formas de cargar el nuevo certificado en la instancia EC2, pero la más sencilla e informativa consiste en abrir un editor de texto (por ejemplo, vi, nano o notepad) en el equipo local y en la instancia y, a continuación, copiar y pegar el contenido del archivo de uno al otro. Para realizar estas operaciones en la instancia EC2, necesita permisos de raíz [sudo]. De esta forma, puede ver inmediatamente si hay algún problema con los permisos o las rutas. Procure, no obstante, no añadir más líneas al copiar el contenido o cambiarlo de ninguna forma.

    Desde el /etc/pki/tls/certs directorio, compruebe que la configuración de propiedad, grupo y permisos del archivo coincide con los valores predeterminados de la AL2023, que son muy restrictivos (owner=root, group=root, lectura/escritura solo para el propietario). En el siguiente ejemplo, se muestran los comandos que se utilizarán.

    [ec2-user certs]$ sudo chown root:root custom.crt [ec2-user certs]$ sudo chmod 600 custom.crt [ec2-user certs]$ ls -al custom.crt

    Estos comandos deberían devolver el siguiente resultado.

    -rw------- root root custom.crt

    Los permisos del archivo de certificado intermedio son menos estrictos (propietario=raíz, grupo=raíz, propietario puede escribir, grupo puede leer, mundo puede leer). En el siguiente ejemplo, se muestran los comandos que se utilizarán.

    [ec2-user certs]$ sudo chown root:root intermediate.crt [ec2-user certs]$ sudo chmod 644 intermediate.crt [ec2-user certs]$ ls -al intermediate.crt

    Estos comandos deberían devolver el siguiente resultado.

    -rw-r--r-- root root intermediate.crt
  6. Coloque la clave privada que utilizó para crear la CSR en el directorio /etc/pki/tls/private/.

    nota

    Hay varias formas de cargar la clave personalizada en la instancia EC2, pero la más sencilla e informativa consiste en abrir un editor de texto (por ejemplo, vi, nano o notepad) en el equipo local y en la instancia y, a continuación, copiar y pegar el contenido del archivo de uno al otro. Para realizar estas operaciones en la instancia EC2, necesita permisos de raíz [sudo]. De esta forma, puede ver inmediatamente si hay algún problema con los permisos o las rutas. Procure, no obstante, no añadir más líneas al copiar el contenido o cambiarlo de ninguna forma.

    Desde el /etc/pki/tls/private directorio, utilice los siguientes comandos para comprobar que la configuración de propiedad, grupo y permisos del archivo coincide con los valores predeterminados de la AL2023, que son muy restrictivos (owner=root, group=root, lectura/escritura solo para el propietario).

    [ec2-user private]$ sudo chown root:root custom.key [ec2-user private]$ sudo chmod 600 custom.key [ec2-user private]$ ls -al custom.key

    Estos comandos deberían devolver el siguiente resultado.

    -rw------- root root custom.key
  7. Edite /etc/httpd/conf.d/ssl.conf para reflejar el nuevo certificado y los archivos de claves.

    1. Proporcione la ruta y el nombre de archivo del certificado de host firmado por la CA en la directiva SSLCertificateFile de Apache:

      SSLCertificateFile /etc/pki/tls/certs/custom.crt
    2. Si ha recibido un archivo de certificado intermedio (intermediate.crt en este ejemplo), proporcione su ruta y nombre de archivo utilizando la directiva SSLCACertificateFile de Apache:

      SSLCACertificateFile /etc/pki/tls/certs/intermediate.crt
      nota

      Algunas CA combinan el certificado de host y los certificados intermedios en un solo archivo, por lo que, en ese caso, la directiva SSLCACertificateFile es innecesaria. Consulte las instrucciones que le ha proporcionado su CA.

    3. Proporcione la ruta y el nombre de archivo de la clave privada (custom.key en este ejemplo) en la directiva SSLCertificateKeyFile de Apache:

      SSLCertificateKeyFile /etc/pki/tls/private/custom.key
  8. Guarde /etc/httpd/conf.d/ssl.conf y reinicie Apache.

    [ec2-user ~]$ sudo systemctl restart httpd
  9. Pruebe el servidor introduciendo su nombre de dominio en una barra de direcciones URL del navegador con el prefijo https://. El navegador debería cargar la página de prueba sobre HTTPS sin generar errores.

Paso 3: Probar y reforzar la configuración de seguridad

Cuando su TLS esté en funcionamiento y expuesto al público, debería probar su seguridad. Esta operación es muy sencilla con servicios online como Qualys SSL Labs, que realiza un análisis gratuito y exhaustivo de su configuración de seguridad. En función de los resultados, puede decidir si debe reforzar la configuración de seguridad predeterminada controlando los protocolos que acepta, qué cifrados prefiere y cuáles deben excluirse. Para obtener más información, consulte cómo Qualys formula sus puntuaciones.

importante

Las pruebas reales son cruciales para la seguridad del servidor. Cualquier pequeño error de configuración puede provocar graves infracciones de seguridad y la pérdida de datos. Dado que las prácticas de seguridad recomendadas cambian continuamente en respuesta a las investigaciones y a las continuas amenazas, es esencial realizar auditorías de seguridad periódicas para mantener una buena administración del servidor.

En el sitio de Qualys SSL Labs, introduzca el nombre de dominio completo de su servidor, con el formato www.example.com. Dos minutos después recibirá una puntuación (de A a F) de su sitio y un desglose detallado de los descubrimientos. La siguiente tabla resume el informe de un dominio con una configuración idéntica a la configuración predeterminada de Apache en el AL2023 y con un certificado Certbot predeterminado.

Calificación global B
Certificate 100%
Compatibilidad del protocolo 95%
Intercambio de clave 70 %
Seguridad del cifrado 90%

Aunque la información general muestra que la configuración es correcta, el informe detallado indica algunos posibles problemas, indicados aquí en orden de gravedad:

Algunos navegadores más antiguos admiten el uso del cifrado RC4. Un cifrado es el núcleo matemático de un algoritmo de cifrado. Se sabe que RC4, un cifrado rápido que sirve para cifrar flujos de datos TLS, tiene varios puntos débiles importantes. A menos que tenga muy buenas razones para admitir navegadores heredados, debería deshabilitar esta opción.

Se admiten las versiones antiguas de TLS. La configuración admite TLS 1.0 (ya obsoleto) y TLS 1.1 (en vías de ser declarado obsoleto). Desde 2018 solo se ha recomendado TLS 1.2.

La confidencialidad directa no se admite por completo. La confidencialidad directa es una característica de los algoritmos que cifra mediante claves de sesión temporales (efímeras) que se obtienen de la clave privada. En la práctica, esto significa que los atacantes no pueden descifrar los datos HTTPS aunque posean una clave privada a largo plazo del servidor web.

Para corregir y preparar para el futuro la configuración de TLS
  1. Abra el archivo de configuración /etc/httpd/conf.d/ssl.conf en un editor de texto y comente la línea siguiente introduciendo "#" al principio de la línea.

    #SSLProtocol all -SSLv3
  2. Añada la siguiente directiva:

    #SSLProtocol all -SSLv3 SSLProtocol -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2

    Esta directiva deshabilita explícitamente las versiones 2 y 3 de SSL, además de las versiones 1.0 y 1.1 de TLS. Ahora, el servidor se niega a aceptar conexiones cifradas con clientes que no utilicen versiones compatibles de TLS 1.2. El texto de la directiva transmite con más claridad a un lector humano las acciones que se han configurado que haga el servidor.

    nota

    Al deshabilitar las versiones 1.0 y 1.1 de TLS de esta manera, bloquea un pequeño porcentaje de navegadores web desactualizados y evita que obtengan acceso a su sitio.

Para modificar la lista de cifrados permitidos
  1. En el archivo de configuración /etc/httpd/conf.d/ssl.conf, encuentre la sección con la directiva SSLCipherSuite y comente la línea existente al introducir “#· al principio de la línea.

    #SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
  2. Especifique conjuntos de cifrado explícitos y un orden de cifrado que dé prioridad a la confidencialidad directa y evite los cifrados inseguros. La directiva SSLCipherSuite que se utiliza aquí se basa en el resultado del Mozilla SSL Configuration Generator, que personaliza una configuración de TLS al software específico que se ejecuta en su servidor. (Para obtener más información, consulte el útil recurso de Mozilla Security/Server Side TLS.) En primer lugar, determine sus versiones de Apache y OpenSSL utilizando la salida de los comandos siguientes.

    [ec2-user ~]$ yum list installed | grep httpd [ec2-user ~]$ yum list installed | grep openssl

    Por ejemplo, si la información devuelta es Apache 2.4.34 y OpenSSL 1.0.2, lo introducimos en el generador. Después elegimos el modelo de compatibilidad «moderno», esto crea una directiva SSLCipherSuite que aplica seguridad de forma agresiva pero sigue funcionando para la mayoría de navegadores. Si el navegador no admite la configuración moderna, puede actualizar el software o elegir la configuración «intermedia» en su lugar.

    SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

    Los cifrados con la calificación más alta tienen ECDHE en su nombre, una abreviatura de Elliptic Curve Diffie-Hellman Ephemeral. El término ephemeral indica confidencialidad directa. Como subproducto, estos cifrados no admiten RC4.

    Le recomendamos utilizar una lista de cifrados explícita en lugar de utilizar valores predeterminados o directivas escuetas cuyo contenido no es visible.

    Copie la directiva generada e /etc/httpd/conf.d/ssl.conf.

    nota

    Aunque aquí se muestran en varias líneas para que la lectura sea más sencilla, la directiva debe estar en una sola línea cuando se copia a /etc/httpd/conf.d/ssl.conf con un solo símbolo de dos puntos (sin espacios) entre los nombres de los cifrados.

  3. Por último, cancele el comentario de la siguiente línea eliminando el "#" al principio de la línea.

    #SSLHonorCipherOrder on

    Esta directiva obliga al servidor a preferir cifrados con una calificación alta, incluidos (en este caso) los que admiten la confidencialidad directa. Con esta directiva activada, el servidor intenta establecer una conexión muy segura antes de recurrir a los cifrados permitidos con menor seguridad.

Después de completar ambos procedimientos, guarde los cambios en /etc/httpd/conf.d/ssl.conf y reinicie Apache.

Si vuelve a probar el dominio en Qualys SSL Labs, debería ver que la vulnerabilidad de RC4 y otras advertencias han desaparecido y que el resumen se parece a lo siguiente.

Calificación global A
Certificate 100%
Compatibilidad del protocolo 100%
Intercambio de clave 90%
Seguridad del cifrado 90%

En cada actualización de OpenSSL, se introducen nuevos cifrados y se elimina la compatibilidad con los antiguos. Conserve su instancia EC2 AL2023 up-to-date, esté atento a los anuncios de seguridad de OpenSSL y manténgase alerta a los informes de nuevos ataques de seguridad en la prensa técnica.

Solución de problemas

  • Mi servidor web Apache no se inicia a menos que especifique una contraseña

    Es el comportamiento esperado si ha instalado una clave de servidor privado cifrada y protegida mediante contraseña.

    Puede eliminar el cifrado y el requisito de contraseña de la clave. Supongamos que tiene una clave RSA cifrada privada que se denomina custom.key en el directorio predeterminado y que su contraseña es abcde12345. Ejecute los siguientes comandos en la instancia EC2 para generar una versión no cifrada de la clave.

    [ec2-user ~]$ cd /etc/pki/tls/private/ [ec2-user private]$ sudo cp custom.key custom.key.bak [ec2-user private]$ sudo openssl rsa -in custom.key -passin pass:abcde12345 -out custom.key.nocrypt [ec2-user private]$ sudo mv custom.key.nocrypt custom.key [ec2-user private]$ sudo chown root:root custom.key [ec2-user private]$ sudo chmod 600 custom.key [ec2-user private]$ sudo systemctl restart httpd

    Ahora, Apache debería iniciarse sin solicitarle una contraseña.

  • Recibo errores cuando ejecuto sudo dnf install -y mod_ssl.

    Al instalar los paquetes necesarios para SSL, puede que aparezcan errores similares a los siguientes:

    Error: httpd24-tools conflicts with httpd-tools-2.2.34-1.16.amzn1.x86_64 Error: httpd24 conflicts with httpd-2.2.34-1.16.amzn1.x86_64

    Esto normalmente significa que su instancia EC2 no ejecuta el AL2023. Este tutorial solo admite instancias recién creadas a partir de una AMI AL2023 oficial.