SSL/TLS cifra el tráfico entre clientes y tu servidor. Use versiones modernas del protocolo y cifrados fuertes; automatice renovación y proteja claves privadas para que el hosting siga seguro.
Versiones TLS
- Use TLS 1.2 o 1.3; deshabilite TLS 1.0, 1.1 y SSLv3 (obsoletos y débiles).
- Configure el servidor (o balanceador) para preferir la opción más fuerte soportada; pruebe con SSL Labs.
Certificados y renovación
- Renovación automática (ej. Let's Encrypt, ACME o gestionado por el proveedor) evita sorpresas de expiración.
- Mantenga claves privadas en el servidor con permisos restringidos; no las exponga ni las suba al repositorio.
- Para wildcard o EV puede hacer falta una CA comercial; asegure que la renovación esté programada o automatizada.
Endurecimiento
- HSTS: Indique a los navegadores usar solo HTTPS; reduce riesgo de downgrade.
- Cifrados fuertes: Deshabilite cifrados débiles o legacy; prefiera forward secrecy.
- Mantenga el SO y las bibliotecas (OpenSSL, etc.) actualizados para parchear vulnerabilidades conocidas.
Resumen
Use TLS 1.2/1.3, deshabilite protocolos antiguos, prefiera renovación automática y restrinja acceso a claves. HSTS y cifrados fuertes mejoran la seguridad; revise y pruebe la configuración con regularidad.
