Mozilla a desarrollado un escáner en línea capaz de verificar que los servidores Web implementen correctamente las medidas de seguridad adecuadas. Este test se denomina Observatory by Mozilla y está inspirado en el test SSL de Qualys SSL Labs.

El "observatorio" es un proyecto enfocado a ayudar a desarrolladores, administradores y expertos en seguridad a configurar sus sistemas de forma segura. Para medir el grado de seguridad de un servidor Web, el observatorio utiliza un sistema de puntaje de 0 a 100 que se traduce en calificaciones desde la F hasta la A+.

Sin embargo, a diferencia de SSL Server Test (que sólo verifica la implementación de SSL del servidor), el observatorio escanea un amplio rango de mecanismos de seguridad Web entre los que se incluye: flags de seguridad de cookies; Cross-Origin Resource Sharing (CORS); Content Security Policy (CSP); HTTP Public Key Pinning; HTTP Strict Transport Security (HSTS); redirecciones; X-Frame-Options; X-Content-Type-Options; X-XSS-Protection, y otras.

Cabe destacar que el observatorio no sólo verifica la presencia de estas tecnologías, sino también si están correctamente implementadas. Lo único que no hace la herramienta es escanear vulnerabilidades en el código del sitio Web propiamente dicho (como vulnerabilidades SQLi, XSS, etc.), algo que ya existe en muchas herramientas de seguridad comerciales y libres.

Un aspecto interesante es que el código del observatorio es open source, y además cuenta con una API y herramientas de línea de comandos.

Para realizar un test sobre un sitio Web, sólo basta con ingresar al sitio Web del observatorio e indicar un nombre de dominio:

Los resultados del test son presentados en una sola página utilizando una interfaz amigable con enlaces a las guías de seguridad de Mozilla, las cuales cuentan con ejemplos de implementación de cada medida de seguridad.

En la parte superior de la página de resultados muestra el resumen, junto con la calificación otorgada y la medida de seguridad más importante a corregir:

En este caso se observa que baja considerablemente la calificación por no forzar HTTPS.

Debajo muestra el detalle de cada test, junto con el puntaje que quita por cada uno fallado:

Luego viene el resumen de TLS:

El nivel de compatibilidad se obtiene a partir de las suites de cifrado soportadas en la configuración de SSL del servidor:

Cuanto mayor compatibilidad con navegadores desactualizados (mayor cantidad de suites de cifrado soportadas), menor seguridad, y viceversa.

A continuación se incluyen resultados de test de terceros, incluyendo el SSL Server Test de Qualys:

El test del sitio High-Tech Bridge SA determina si el servidor Web es vulnerable a los ataques SSL/TLS más graves y conocidos:

El test CryptCheck analiza detenidamente las suites de cifrado soportadas, indicando cuáles son inseguras y deben deshabilitarse. En esta caso baja la calificación por soportar Triple DES:

El sitio securityheader.io analiza la seguridad implementada en las cabeceras del protocolo HTTP:

En este caso baja la calificación por no contar con las cabeceras Content-Security-Policy, X-Frame-Options, X-XSS-Protection y Referrer-Policy.

Finalmente se indica si el sitio está en la lista de precarga de HSTS:

Este mecanismo es utilizado por Mozilla para prevenir ataques man-in-the-middle que busquen evitar el uso de HSTS. El resultado es una lista de sitios Web para los cuales se fuerza el uso de TLS desde el cliente (navegador Web). Debe ser utilizado cuidadosamente, pues es muy difícil dar de baja un dominio una vez listado:

    "Be aware that inclusion in the preload list cannot easily be undone. Domains can be removed, but it takes months for a change to reach users with a Chrome update and we cannot make guarantees about other browsers. Don't request inclusion unless you're sure that you can support HTTPS for your entire site and all its subdomains the long term."


Tal vez pueda interesarte


Compartí este artículo