Análisis SSL/TLS - OpenSSL, SSLScan y SSLyze

Análisis SSL/TLS: OpenSSL, SSLScan y SSLyze

Introducción a SSL/TLS

HTTP vs HTTPS

HTTP (Hypertext Transfer Protocol) es un protocolo de comunicación utilizado para la transferencia de datos en la World Wide Web. Se utiliza para la transferencia de contenido de texto, imágenes, videos, hipervínculos, etc. El puerto predeterminado para HTTP es el puerto 80.

HTTPS (Hypertext Transfer Protocol Secure) es una versión segura de HTTP que utiliza SSL/TLS para cifrar la comunicación entre el cliente y el servidor. Utiliza el puerto 443 por defecto.

¿Por qué HTTPS es importante?

La principal diferencia entre HTTP y HTTPS es que HTTPS utiliza una capa de seguridad adicional para cifrar los datos, lo que los hace más seguros para la transferencia.

Ventajas de HTTPS:

✅ Confidencialidad: Los datos se cifran durante la transmisión
✅ Integridad: Los datos no pueden ser modificados sin detección
✅ Autenticación: Verifica la identidad del servidor
✅ Confianza: Los usuarios ven el candado verde en el navegador
✅ SEO: Google favorece los sitios HTTPS en rankings

SSL vs TLS

SSL (Secure Sockets Layer): Protocolo más antiguo, versiones 1.0, 2.0, 3.0
TLS (Transport Layer Security): Evolución de SSL, versiones 1.0, 1.1, 1.2, 1.3

Hoy en día se usa TLS, aunque coloquialmente se sigue llamando “SSL”.

Certificados SSL/TLS

Los certificados digitales son documentos electrónicos que vinculan una clave pública con una identidad (persona, organización, servidor web).

Tipos de certificados:

DV (Domain Validated): Solo valida el dominio
OV (Organization Validated): Valida dominio y organización
EV (Extended Validation): Máxima validación con barra verde

Autoridades de Certificación (CA):

DigiCert, GlobalSign, Let’s Encrypt, Comodo, etc.

OpenSSL

OpenSSL es una biblioteca de software libre y de código abierto que se utiliza para implementar protocolos de seguridad en línea, como TLS (Transport Layer Security) y SSL (Secure Sockets Layer). La biblioteca OpenSSL proporciona una implementación de estos protocolos para permitir que las aplicaciones se comuniquen de manera segura y encriptada a través de la red.

Instalación

# En distribuciones basadas en Debian/Ubuntu
sudo apt update && sudo apt install openssl

# En CentOS/RHEL/Fedora
sudo yum install openssl  # CentOS/RHEL
sudo dnf install openssl  # Fedora

# En macOS
brew install openssl

# Compilación desde código fuente
wget https://www.openssl.org/source/openssl-3.0.7.tar.gz
tar -xf openssl-3.0.7.tar.gz
cd openssl-3.0.7
./config
make
sudo make install

Comandos Básicos de OpenSSL

1. Inspeccionar Certificado SSL

# Comando básico para inspeccionar certificado
openssl s_client -connect ejemplo.com:443

# Con más detalles y salida limpia
openssl s_client -connect ejemplo.com:443 -servername ejemplo.com | openssl x509 -noout -text

# Solo información del certificado
openssl s_client -connect ejemplo.com:443 -servername ejemplo.com 2>/dev/null | openssl x509 -noout -text

2. Verificar Cadena de Certificación

# Verificar la cadena completa de certificados
openssl s_client -connect ejemplo.com:443 -showcerts

# Guardar certificados en archivos separados
openssl s_client -connect ejemplo.com:443 -showcerts </dev/null 2>/dev/null | awk '/BEGIN CERTIFICATE/,/END CERTIFICATE/ {print > "cert" NR ".pem"}'

3. Información del Certificado

# Información básica del certificado
openssl s_client -connect ejemplo.com:443 2>/dev/null | openssl x509 -noout -subject -issuer -dates

# Verificar validez
openssl s_client -connect ejemplo.com:443 2>/dev/null | openssl x509 -noout -checkend 0

# Fingerprint del certificado
openssl s_client -connect ejemplo.com:443 2>/dev/null | openssl x509 -noout -fingerprint -sha256

4. Análisis de Cifrados

# Ver cifrados soportados por el servidor
openssl s_client -connect ejemplo.com:443 -cipher 'ALL:eNULL' | grep "Cipher is"

# Probar un cifrado específico
openssl s_client -connect ejemplo.com:443 -cipher AES128-SHA

# Ver todas las suites de cifrado disponibles
openssl ciphers -v

5. Generar y Gestionar Certificados

# Generar clave privada
openssl genrsa -out private.key 2048

# Generar CSR (Certificate Signing Request)
openssl req -new -key private.key -out certificate.csr

# Generar certificado autofirmado
openssl req -x509 -new -key private.key -out certificate.crt -days 365

# Ver contenido de un certificado
openssl x509 -in certificate.crt -text -noout

# Convertir formatos
openssl x509 -in cert.pem -outform der -out cert.der  # PEM a DER
openssl x509 -in cert.der -inform der -out cert.pem   # DER a PEM

Scripts Útiles con OpenSSL

Script de Monitoreo de Certificados

#!/bin/bash
# check_ssl_cert.sh - Monitorea expiración de certificados SSL

DOMAINS=("ejemplo.com" "api.ejemplo.com" "admin.ejemplo.com")
WARNING_DAYS=30
CRITICAL_DAYS=7

for domain in "${DOMAINS[@]}"; do
    echo "Verificando $domain..."

    # Obtener fecha de expiración
    expire_date=$(openssl s_client -connect "$domain:443" -servername "$domain" 2>/dev/null | openssl x509 -noout -enddate 2>/dev/null | cut -d= -f2)

    if [ -z "$expire_date" ]; then
        echo "❌ ERROR: No se pudo obtener información del certificado para $domain"
        continue
    fi

    # Convertir a timestamp
    expire_timestamp=$(date -d "$expire_date" +%s)
    current_timestamp=$(date +%s)

    # Calcular días restantes
    days_left=$(( (expire_timestamp - current_timestamp) / 86400 ))

    if [ $days_left -le $CRITICAL_DAYS ]; then
        echo "🚨 CRÍTICO: $domain expira en $days_left días ($expire_date)"
    elif [ $days_left -le $WARNING_DAYS ]; then
        echo "⚠️  ADVERTENCIA: $domain expira en $days_left días ($expire_date)"
    else
        echo "✅ OK: $domain expira en $days_left días ($expire_date)"
    fi
    echo ""
done

Script de Escaneo de Cifrados Débiles

#!/bin/bash
# weak_ciphers_check.sh - Verifica cifrados débiles

TARGET=$1
WEAK_CIPHERS=("NULL" "EXPORT" "RC4" "DES" "3DES" "MD5")

if [ -z "$TARGET" ]; then
    echo "Uso: $0 <dominio>"
    exit 1
fi

echo "Verificando cifrados débiles en $TARGET..."
echo "========================================"

for cipher in "${WEAK_CIPHERS[@]}"; do
    echo "Probando cifrados $cipher..."
    result=$(openssl s_client -connect "$TARGET:443" -cipher "$cipher" 2>&1 | grep "Cipher is")

    if [ $? -eq 0 ]; then
        echo "❌ VULNERABLE: Cifrado $cipher soportado"
        echo "   $result"
    else
        echo "✅ Seguro: Cifrado $cipher no soportado"
    fi
    echo ""
done

SSLScan

SSLScan es una herramienta de línea de comandos que se utiliza para evaluar la configuración SSL/TLS de un servidor web. Proporciona información detallada sobre los protocolos SSL/TLS admitidos, el cifrado utilizado y los certificados SSL.

Instalación

# Instalación en Kali Linux
sudo apt update && sudo apt install sslscan

# Compilación desde código fuente
git clone https://github.com/rbsec/sslscan.git
cd sslscan
make static
sudo cp sslscan /usr/local/bin/

Uso Básico

# Escaneo básico
sslscan ejemplo.com

# Escaneo con puerto específico
sslscan ejemplo.com:443

# Escaneo con opciones avanzadas
sslscan --no-colour --show-certificate ejemplo.com

Opciones Principales

Opción	Descripción
`--no-colour`	Salida sin colores
`--show-certificate`	Muestra detalles del certificado
`--show-ciphers`	Lista todos los cifrados probados
`--ssl2`	Fuerza uso de SSLv2 (deshabilitado por defecto)
`--ssl3`	Fuerza uso de SSLv3 (deshabilitado por defecto)
`--tls10`	Fuerza uso de TLS 1.0
`--tls11`	Fuerza uso de TLS 1.1
`--starttls-smtp`	Usar STARTTLS para SMTP
`--starttls-imap`	Usar STARTTLS para IMAP
`--starttls-pop3`	Usar STARTTLS para POP3

Ejemplos Prácticos

1. Escaneo Completo

# Escaneo completo con todos los detalles
sslscan --no-colour --show-certificate --show-ciphers ejemplo.com

2. Verificar Vulnerabilidades Comunes

# Verificar Heartbleed
sslscan --no-colour --heartbleed ejemplo.com

# Verificar POODLE (SSLv3)
sslscan --no-colour --ssl3 ejemplo.com

# Verificar soporte para protocolos inseguros
sslscan --no-colour ejemplo.com | grep -E "(SSLv2|SSLv3|TLSv1.0|TLSv1.1)"

3. Análisis de Certificado

# Obtener información detallada del certificado
sslscan --no-colour --show-certificate ejemplo.com | grep -A 20 "Certificate"

4. Verificación de Configuración

# Verificar configuración recomendada
sslscan --no-colour ejemplo.com | grep -E "(Accepted|Preferred|Signature Algorithm)"

Interpretación de Resultados

Códigos de Color (en terminal)

🟢 Verde: Configuraciones seguras
🟡 Amarillo: Configuraciones aceptables pero mejorables
🔴 Rojo: Configuraciones inseguras o vulnerables

Protocolos Recomendados

✅ TLS 1.2 y TLS 1.3: Seguros
⚠️ TLS 1.0 y TLS 1.1: Obsoletos, deben deshabilitarse
❌ SSL 2.0 y SSL 3.0: Inseguros, nunca usar

Cifrados Recomendados

✅ AES-GCM: Cifrados modernos recomendados
✅ ChaCha20-Poly1305: Bueno para móviles
⚠️ AES-CBC: Aceptable pero vulnerable a ataques
❌ RC4, DES, 3DES: Inseguros
❌ NULL: Sin cifrado

SSLyze

SSLyze es una herramienta de análisis de seguridad SSL/TLS más avanzada que SSLScan. Se enfoca en la evaluación exhaustiva de la configuración SSL/TLS de un servidor web, proporcionando información detallada sobre cifrados, protocolos, certificados y vulnerabilidades.

Instalación

# Usando pip (recomendado)
pip3 install sslyze

# Desde código fuente
git clone https://github.com/nabla-c0d3/sslyze.git
cd sslyze
pip3 install -r requirements.txt
python setup.py install

# Usando Docker
docker run -it --rm nablac0d3/sslyze:latest sslyze --help

Uso Básico

# Escaneo básico
sslyze ejemplo.com

# Escaneo con opciones específicas
sslyze --regular ejemplo.com

# Escaneo completo (todos los plugins)
sslyze --regular --certinfo --hide_rejected_ciphers --compression --heartbleed --openssl_ccs --fallback ejemplo.com

Plugins Principales

1. certificate_info

Proporciona información detallada sobre el certificado SSL/TLS.

sslyze --certinfo ejemplo.com

2. sslv2, sslv3, tlsv1, tlsv1_1, tlsv1_2, tlsv1_3

Verifica soporte para diferentes versiones de protocolos.

# Verificar todas las versiones de protocolo
sslyze --sslv2 --sslv3 --tlsv1 --tlsv1_1 --tlsv1_2 --tlsv1_3 ejemplo.com

# Verificar solo versiones seguras
sslyze --tlsv1_2 --tlsv1_3 ejemplo.com

3. resumption

Verifica si el servidor soporta session resumption.

sslyze --resumption ejemplo.com

4. compression

Verifica si el servidor es vulnerable a ataques CRIME (compresión).

sslyze --compression ejemplo.com

5. heartbleed

Verifica vulnerabilidad Heartbleed.

sslyze --heartbleed ejemplo.com

6. openssl_ccs

Verifica vulnerabilidad OpenSSL CCS.

sslyze --openssl_ccs ejemplo.com

7. fallback

Verifica si el servidor soporta downgrade attacks.

sslyze --fallback ejemplo.com

Ejemplos Avanzados

1. Escaneo Completo de Seguridad

# Escaneo completo recomendado
sslyze --regular \
       --certinfo \
       --hide_rejected_ciphers \
       --compression \
       --heartbleed \
       --openssl_ccs \
       --fallback \
       --reneg \
       --resum \
       ejemplo.com

2. Verificación de Configuración PFS

# Verificar Perfect Forward Secrecy
sslyze --regular --hide_rejected_ciphers ejemplo.com | grep -A 10 -B 10 "Forward Secrecy"

3. Análisis de Cadena de Certificación

# Verificar cadena de certificados
sslyze --certinfo --hide_rejected_ciphers ejemplo.com | grep -A 50 "Certificate"

4. Monitoreo Continuo

#!/bin/bash
# ssl_monitor.sh - Monitoreo continuo de configuración SSL

TARGET="ejemplo.com"
LOG_FILE="ssl_monitor_$(date +%Y%m%d).log"

echo "Iniciando monitoreo SSL de $TARGET" | tee -a "$LOG_FILE"
echo "Fecha: $(date)" | tee -a "$LOG_FILE"
echo "========================================" | tee -a "$LOG_FILE"

# Escaneo completo
sslyze --regular --certinfo --compression --heartbleed --openssl_ccs --fallback "$TARGET" | tee -a "$LOG_FILE"

echo "" | tee -a "$LOG_FILE"
echo "Monitoreo completado: $(date)" | tee -a "$LOG_FILE"

Comparación entre Herramientas

Característica	OpenSSL	SSLScan	SSLyze
Complejidad	Baja	Media	Alta
Velocidad	Muy rápida	Rápida	Media
Profundidad	Media	Alta	Muy alta
Facilidad de uso	Media	Alta	Media
Vulnerabilidades	Básicas	Comunes	Avanzadas
Certificados	Detallado	Básico	Completo
Automatización	Limitada	Buena	Excelente

Vulnerabilidades Comunes SSL/TLS

Heartbleed (CVE-2014-0160)

Descripción: Vulnerabilidad en OpenSSL que permite a atacantes leer memoria del servidor.

Impacto: Acceso a claves privadas, nombres de usuario, contraseñas, etc.

Detección:

# Con SSLyze
sslyze --heartbleed ejemplo.com

# Con SSLScan
sslscan --heartbleed ejemplo.com

Mitigación: Actualizar OpenSSL a versión 1.0.1g o superior.

POODLE (CVE-2014-3566)

Descripción: Ataque que explota SSLv3 para realizar ataques man-in-the-middle.

Impacto: Descifrado de datos encriptados.

Detección:

# Verificar soporte SSLv3
sslyze --sslv3 ejemplo.com
sslscan --ssl3 ejemplo.com

Mitigación: Deshabilitar SSLv3, usar solo TLS 1.2+.

CRIME (CVE-2012-4929)

Descripción: Ataque que explota compresión TLS para robar cookies.

Impacto: Robo de cookies de sesión.

Detección:

sslyze --compression ejemplo.com

Mitigación: Deshabilitar compresión TLS.

BEAST (CVE-2011-3389)

Descripción: Ataque que explota cifrados CBC en TLS 1.0.

Impacto: Descifrado de datos encriptados.

Detección:

sslyze --tlsv1 ejemplo.com | grep "CBC"

Mitigación: Usar TLS 1.1+ o cifrados AEAD (AES-GCM).

Logjam (CVE-2015-4000)

Descripción: Ataque de downgrade que fuerza el uso de cifrados débiles.

Impacto: Degradación de seguridad a niveles export.

Detección:

sslyze --fallback ejemplo.com

Mitigación: Deshabilitar cifrados de 512 bits, usar DH parameters de 2048+ bits.

Mejores Prácticas SSL/TLS

Configuración Recomendada

1. Protocolos

✅ TLS 1.3 (máxima seguridad)
✅ TLS 1.2 (muy seguro)
❌ TLS 1.0/1.1 (obsoletos)
❌ SSL 2.0/3.0 (inseguros)

2. Cifrados Recomendados

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES128-SHA256

3. Configuración del Servidor

Apache:

SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
SSLHonorCipherOrder on

Nginx:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;

4. Certificados

Usar certificados de 2048 bits o más
Implementar HSTS (HTTP Strict Transport Security)
Configurar renovación automática (Let’s Encrypt)
Usar certificados wildcard cuando sea apropiado

Monitoreo Continuo

#!/bin/bash
# ssl_monitoring.sh - Monitoreo completo SSL/TLS

TARGETS=("ejemplo.com" "api.ejemplo.com" "admin.ejemplo.com")
REPORT_DIR="ssl_reports"
mkdir -p "$REPORT_DIR"

for target in "${TARGETS[@]}"; do
    echo "Analizando $target..."

    # Crear directorio para el target
    target_dir="$REPORT_DIR/$(date +%Y%m%d)_$target"
    mkdir -p "$target_dir"

    # SSLyze completo
    sslyze --regular --certinfo --compression --heartbleed --openssl_ccs --fallback "$target" > "$target_dir/sslyze_report.txt"

    # SSLScan
    sslscan --no-colour "$target" > "$target_dir/sslscan_report.txt"

    # OpenSSL básico
    echo "Q" | openssl s_client -connect "$target:443" -servername "$target" 2>/dev/null | openssl x509 -noout -text > "$target_dir/openssl_cert.txt"

    # Verificar expiración
    expire_date=$(openssl s_client -connect "$target:443" -servername "$target" 2>/dev/null | openssl x509 -noout -enddate 2>/dev/null | cut -d= -f2)
    if [ ! -z "$expire_date" ]; then
        days_left=$(( ($(date -d "$expire_date" +%s) - $(date +%s)) / 86400 ))
        echo "Días hasta expiración: $days_left" > "$target_dir/expiration.txt"

        if [ $days_left -le 30 ]; then
            echo "⚠️  ALERTA: Certificado expira pronto ($days_left días)" >> "$target_dir/expiration.txt"
        fi
    fi

    echo "Reportes generados en $target_dir"
done

echo "Monitoreo SSL completado."

Consideraciones Éticas y Legales

Uso Ético

✅ Permitido:

Análisis de tus propios servidores
Pruebas con autorización escrita
Investigación académica
Auditorías de seguridad autorizadas

❌ Prohibido:

Escaneo de servidores ajenos sin permiso
Uso para actividades maliciosas
Violación de términos de servicio
Acceso no autorizado a información

Marco Legal

Estados Unidos:

CFAA (Computer Fraud and Abuse Act): Prohibe acceso no autorizado
DMCA: Protección de propiedad intelectual

Unión Europea:

GDPR: Protección de datos personales
NIS Directive: Seguridad de infraestructuras críticas

Consideraciones importantes:

Obtener permiso por escrito antes de cualquier análisis
Documentar toda la metodología utilizada
No almacenar información sensible obtenida
Reportar vulnerabilidades encontradas de manera responsable

Reportes de Vulnerabilidades

Si encuentras vulnerabilidades durante un análisis autorizado:

No explotes la vulnerabilidad
Documenta los hallazgos detalladamente
Reporta al propietario del sistema
Espera confirmación antes de divulgar públicamente

Recursos Adicionales

Herramientas Complementarias

# TestSSL.sh - Herramienta avanzada de testing SSL
git clone https://github.com/drwetter/testssl.sh.git
cd testssl.sh
./testssl.sh ejemplo.com

# SSL Labs API
# Verificación automática de calificación SSL Labs
curl -s "https://api.ssllabs.com/api/v3/analyze?host=ejemplo.com" | jq .

# SSL Certificate Checker (online)
# https://www.sslshopper.com/ssl-checker.html

Documentación Oficial

OpenSSL: https://www.openssl.org/docs/
SSLScan: https://github.com/rbsec/sslscan
SSLyze: https://github.com/nabla-c0d3/sslyze
RFC 5246: Especificación TLS 1.2
RFC 8446: Especificación TLS 1.3

Certificaciones y Guías

OWASP Testing Guide: Guías de testing SSL/TLS
NIST SP 800-52: Guías de seguridad TLS
Mozilla SSL Configuration Generator: https://ssl-config.mozilla.org/

Conclusiones

El análisis SSL/TLS es fundamental para garantizar la seguridad de las comunicaciones web. Las herramientas OpenSSL, SSLScan y SSLyze proporcionan diferentes niveles de profundidad y funcionalidad:

OpenSSL: Ideal para inspección rápida y gestión de certificados
SSLScan: Perfecto para evaluaciones rápidas de configuración SSL
SSLyze: La herramienta más completa para análisis exhaustivo de seguridad

Puntos clave a recordar:

HTTPS es esencial para la seguridad web moderna
TLS 1.3 ofrece la máxima seguridad actual
Los certificados deben renovarse antes de expirar
Las vulnerabilidades conocidas deben parchearse inmediatamente
El monitoreo continuo es crucial para mantener la seguridad

Recuerda: Siempre obtén autorización por escrito antes de realizar cualquier análisis SSL/TLS en sistemas que no te pertenecen. La seguridad debe ser proactiva, no reactiva.

Última actualización: 2025-01-23 Versión: 2.0