Volver al blog

Síguenos y suscríbete

Sólo disponible en inglés

Por el momento, esta página solo está disponible en inglés. Lamentamos las molestias. Vuelva a visitar esta página más tarde.

Cinco prácticas recomendadas para tu configuración de TLS

Maria Espada

Team Lead, equipo de ingeniería de soporte de TLS

Seguridad

TLS es un protocolo importantísimo, pero hasta a los mejores ingenieros les puede resultar difícil de dominar, sobre todo a escala. Esa es la razón de ser del equipo de Support Engineering para TLS: dar asistencia técnica a todos los clientes, tanto si manejan un solo certificado como si cuentan con miles de ellos. Tras haber ayudado a tantos clientes a ajustar las configuraciones de TLS y DNS a sus necesidades particulares, este equipo sabe de lo que habla.

Hoy me gustaría compartir cinco prácticas recomendadas que hemos ido aprendiendo y que se pueden aplicar a tu flujo de trabajo para sacar el máximo partido de la configuración de TLS.

1. Evitar la asignación de claves/certificados dentro de lo posible

Los profesionales de la seguridad y numerosas autoridades de certificación avisan</u> de que la asignación de certificados es más compleja de lo que se piensa. Anteriormente, varias compañías tecnológicas de renombre solían recomendar esta acción, pero las cosas han cambiado. La ventaja de la asignación radica en que permite a los sitios web controlar el riesgo de ataques de intermediario o de que una autoridad de certificación quede comprometida, pero si se configuran los ajustes de forma incorrecta, podría bloquearse el acceso a tu sitio web, con el consiguiente coste en tiempo y dinero mientras no se resolviese el problema.

2. Crear un plan interno para derivaciones relativas a TLS

En la configuración de TLS, como en cualquier estrategia de seguridad, siempre es bueno contar con un plan de contingencia. Crea un plan interno que incluya ponerse en contacto con el proveedor en caso de emergencia. En el caso de Fastly, recomendamos lo siguiente: 

  • Tener a mano en todo momento la dirección electrónica de soporte (support@fastly.com</u>).

  • Añadir P1 (abreviatura de «Priority 1») en la primera frase del correo, para llamar nuestra atención enseguida.

  • Incluir en el correo cualquier detalle que nos ayude a solucionar el problema cuanto antes, como pueden ser el identificador del certificado, las configuraciones de TLS y cualquier dominio que pudiera estar afectado. Si disponemos de esta información de buenas a primeras, ahorraremos tiempo a la hora de ayudarte.

He usado Fastly como ejemplo, pero estos consejos sirven para cualquier proveedor.

3. Realizar cambios a principios de semana

Los certificados vencerán, habrá que actualizar los nombres alternativos de firmantes (SAN) y puede que cambien los nombres comunes de tus certificados. Todo ello implicará tener que cargar un nuevo certificado para mantener la seguridad de tu tráfico, y da igual que lo hagas tú o lo haga el equipo de Support Engineering para TLS: es importante dejar tiempo cuando se efectúan cambios, porque, si esperas hasta el viernes para enviarlos, corres el riesgo de contar con un equipo en mínimos justo cuando pueden ocurrir problemas. Realiza cambios, pues, a principios de la semana, cuando tienes el equipo entero a tu disposición.

4. Familiarizarse con la interfaz de usuario de TLS

Conoce el producto. Ofrecemos una documentación exhaustiva</u> acerca de nuestros productos de TLS, pero además puedes contar con la facilidad de uso de la interfaz de Fastly TLS</u>. Si conoces la IU y aprendes los términos más importantes, podrás optimizar el proceso de TLS y DNS.

A continuación destacamos dos términos clave de la IU de Fastly TLS:

  • Fastly Certificate ID: la combinación única de números y letras que identifica a tu certificado y evitará toda confusión si se hace referencia al certificado por su nombre común o por la lista de SAN que se incluyen en el certificado.

  • TLS Configuration: los tipos de datos que incluye la configuración conciernen al CNAME, Anycast Records, Protocols y TLS Versions. Al dar un nombre único a tu TLS Configuration y mencionarlo en los tickets, el equipo podrá reconocer tu configuración al instante y darte la ayuda inmediata que necesitas.

5. Mencionar a nuestro equipo

Este es un truco exclusivo de Fastly: cuando envíes una pregunta a support@fastly.com</u>, añade una frase breve que llame la atención del equipo de Support Engineering para TLS. Así, nuestro equipo especializado podrá ponerse a trabajar en el problema en cuanto reciba el ticket.

Si sigues estas prácticas recomendadas, podrás optimizar tus configuraciones de TLS. ¿Todavía no cuentas con Fastly TLS? Si quieres informarte más acerca de nuestra oferta de productos de TLS y seguridad, consulta la documentación de seguridad de Fastly</u>.

Fastly
© Fastly 2024