Una guía paso a paso para habilitar la última versión y probar el protocolo TLS 1.3
Antes del procedimiento de implementación, echemos un vistazo a qué es TLS 1.3, en qué se diferencia de 1.2, historia y compatibilidad.
¿Qué es TLS 1.3?
TLS (seguridad de la capa de transporte) 1.3 se basa en las especificaciones 1.2 existentes. Es la última versión del protocolo TLS y su objetivo es mejorar el rendimiento y la seguridad.
Para saber más, consulte este post de Filippo.
Echemos un vistazo a la historia del protocolo TLS.
El protocolo TLS puede habilitarse en servidores web, CDN, balanceadores de carga y dispositivos de borde de red.
Compatibilidad del navegador TLS 1.3
1.3 aún no es compatible con todos los navegadores. Actualmente, sólo funciona con la última versión de Chrome, Firefox, Opera e iOS Safari. Si desea implementarlo en cuanto sea compatible con todos los navegadores, marque esta página de CanIUse. Teniendo en cuenta que aún se encuentra en una fase temprana, es posible que desee habilitar la versión 1.3 junto con las versiones anteriores 1.2 y 1.1.
Consulte cómo habilitarla en el navegador.
Aquí tiene los análisis TLS de Geekflare. Como puede ver, más del 70% de las peticiones sobre TLS 1.3.
Habilitar TLS 1.3 en Nginx
TLS 1.3 es compatible a partir de la versión Nginx 1.13. Si está ejecutando la versión anterior, entonces primero, tiene que actualizar.
Asumo que tiene Nginx 1.13
- Inicie sesión en el servidor Nginx
- Tome una copia de seguridad del archivo nginx
.
conf - Modifique
nginx
.conf usandovi
o su editor favorito
La configuración por defecto en la configuración SSL debe tener este aspecto
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- Añada
TLSv1.
3 al final de la línea, y así quedará como sigue
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
Nota: la configuración anterior permitirá TLS 1/1.1/1.2/1.3. Si desea habilitar el seguro TLS 1.2/1.3, entonces su configuración deberá tener este aspecto.
ssl_protocols TLSv1.2 TLSv1.3;
- Reinicie el Nginx
service nginx restart
Es fácil. ¿No lo es?
Habilitar TLS 1.3 en Apache
A partir de Apache HTTP 2.4.38, puede aprovechar las ventajas de TLS 1.3. Si todavía está utilizando la versión anterior, entonces tiene que pensar en actualizarla primero.
La configuración es fácil y similar a como se habilita el protocolo TLS 1.2 o 1.1.
Echemos un vistazo…
- Inicie sesión en el servidor HTTP Apache y tome una copia de seguridad o del archivo
ssl.conf
o donde tenga la configuración SSL - Localice la línea
SSLProtocol
y añadaTLSv1.
3 al final de la línea
Ej: lo siguiente permitiría TLS 1.2 y TLS 1.3
SSLProtocol -all TLSv1.2 TLSv1.3
- Guarde el archivo y reinicie Apache HTTP
Cloudflare
Uno de los primeros proveedores de CDN en implementar la compatibilidad con TLS 1.3. Cloudflare lo habilita por defecto para todos los sitios web.
Sin embargo, si necesita desactivarlo o comprobarlo, a continuación le indicamos cómo puede hacerlo.
- Inicie sesión en Cloudflare
- Vaya a la pestaña SSL/TLS >> Certificados Edge
- Desplácese un poco hacia abajo y verá la opción TLS 1.3
¿Qué otras plataformas admiten TLS 1.3?
Tengo conocimiento de las siguientes CDN
- CDN 77 – Recientemente, han anunciado soportar desde algunos de sus POP (punto de presencia).
- AKAMAI – AKAMAI ha activado la versión beta en toda la red.
¿Cómo verificar que el sitio utiliza TLS 1.3?
Una vez que haya implementado a través de un servidor web o CDN, a continuación, desea asegurarse de que su sitio es handshaking sobre el protocolo TLS 1.3.
Existen múltiples formas de comprobarlo.
Geekflare TLS Test – averigüe rápidamente la versión TLS soportada.
SSLLabs – introduzca su URL HTTPS y desplácese hacia abajo en la página de resultados de la prueba.
Verá qué protocolos están habilitados.
Google Chrome – si está habilitando en sitios de intranet, entonces puede probarlo directamente desde el navegador Chrome.
- Inicie Chrome
- Abra Herramientas para desarrolladores
- Vaya a la pestaña Seguridad
- Acceda a la URL HTTPS
- Lado izquierdo, seleccione el origen principal para ver el protocolo
¡Y ya está!
Teniendo en cuenta que TLS 1.3 es todavía nuevo, puede implementarlo en su sitio web pero no olvide mantener habilitada la versión anterior. Tener TLS 1.1, 1.2 habilitado asegurará que el cliente (navegadores) pueda conectarse a través de otras versiones de protocolo si no son compatibles con 1.3
Espero que esto le dé una idea sobre la implementación del último protocolo TLS para ofrecer una mejor seguridad en su sitio web.