SISTEMA DE PUNTOS DEL CERTIFICADO SSL
- Al inicio de la prueba, la puntuación del servidor es 100.
- Se restan puntos cuando la configuración del servidor no cumple con los requisitos de PCI DSS, la guía de HIPAA o las pautas de NIST.
- Se restan puntos cuando la configuración del servidor contiene vulnerabilidades o debilidades explotables que aún no están cubiertas por PCI DSS, HIPAA o las pautas de NIST.
- Se suman puntos por cada práctica adicional que no se menciona en los requisitos de PCI DSS, la guía de HIPAA o las pautas de NIST.
- El servidor no puede obtener una calificación "A+" si una mala configuración hace que pierda más de 10 puntos.
- El servidor recibe una calificación "N" si un puerto probado está cerrado.
- El servidor recibe una calificación "F" si el puerto HTTPS (443/tcp) está cerrado pero el puerto HTTP (80/tcp) está abierto.
Calificación
Puntuación
Calificación
Puntuación
Calificación
Puntuación
A+
Puntuación superior a 100
A
Puntuación entre 90 y 99
A-
Puntuación entre 80 y 89
B+
Puntuación entre 70 y 79
B
Puntuación entre 60 y 69
B-
Puntuación entre 50 y 59
C+
Puntuación entre 35 y 49
C
Puntuación entre 20 y 34
F
Puntuación inferior a 20
Puntuación
Descripción
Puntuación
Certificado es un certificado de Validación Extendida (EV)
+10 puntos
El sitio web HTTP redirige a HTTPS (Always-On SSL)
+10 puntos
El servidor prefiere suites de cifrado que proporcionan un Secreto Perfecto Adelante (PFS) fuerte
+10 puntos
El servidor proporciona la extensión TLS_Fallback_SCSV
+10 puntos
El servidor implementa HTTP Strict Transport Security (HSTS) con una duración prolongada
+10 puntos
El servidor soporta TLSv1.3
+10 puntos
El certificado X509 del servidor es anterior a la versión 3
-5 puntos
El certificado del servidor ha sido emitido por más de 398 días
-5 puntos
El certificado del servidor no ha sido firmado con el algoritmo adecuado
-5 puntos
El servidor no soporta OCSP stapling
-5 puntos
El servidor no soporta ni curvas P-256 ni P-384
-5 puntos
El servidor no soporta algunas suites de cifrado requeridas por las pautas de NIST o la guía de HIPAA
-5 puntos
Se soportan suites de cifrado TLS que no están aprobadas por las pautas de NIST o la guía de HIPAA
-5 puntos
El servidor soporta Curvas Elípticas pero no soporta la extensión EC Point Format
-5 puntos
No se proporciona la cadena de certificados
-10 puntos
El sitio web incluye contenido inseguro (HTTP)
-10 puntos
El servidor acepta la renegociación segura iniciada por el cliente
-10 puntos
El servidor no proporciona información sobre el soporte para la renegociación segura
-10 puntos
El servidor no soporta TLSv1.3
-10 puntos
La cadena de certificados depende de un certificado caducado, lo que puede romper la conexión para algunos clientes
-20 puntos
La firma del certificado no es SHA2
-20 puntos
El certificado no proporciona información de revocación
-20 puntos
Se soporta SSL, pero TLSv1.1 o TLSv1.2 o TLSv1.3 son preferidos
-20 puntos
Se soportan suites de cifrado SSL/TLS que no están aprobadas por PCI DSS
-40 puntos
La longitud de la clave del certificado o el parámetro DH es demasiado pequeña (< 2048 bits o 256 bits para EC)
-40 puntos
El servidor soporta al menos una curva elíptica cuyo tamaño es inferior a 224 bits
-40 puntos
Se soporta SSL mientras TLSv1.1 o TLSv1.2 o TLSv1.3 no lo son
-40 puntos
El servidor soporta la compresión TLS que puede permitir el ataque CRIME
-40 puntos
Se prefieren suites de cifrado SSL/TLS que no están aprobadas por PCI DSS
-50 puntos
El certificado no es de confianza o es inválido*
-60 puntos
El servidor es vulnerable a CVE-2014-0224 (defecto OpenSSL CCS)
-60 puntos
El servidor es vulnerable a CVE-2016-2107 (defecto OpenSSL de oráculo de relleno)
-60 puntos
El servidor puede ser vulnerable a CVE-2021-3449 (vulnerabilidad de renegociación maliciosa OpenSSL)
-60 puntos
El servidor es vulnerable a POODLE sobre TLS
-60 puntos
El servidor es vulnerable a GOLDENDOODLE
-60 puntos
El servidor es vulnerable a Zombie POODLE
-60 puntos
El servidor es vulnerable a Sleeping POODLE
-60 puntos
El servidor es vulnerable a 0-Length OpenSSL
-60 puntos
El servidor acepta la renegociación insegura iniciada por el cliente
-60 puntos
El servidor es vulnerable a ROBOT (Retorno de la amenaza de oráculo de Bleichenbacher)
-60 puntos
El servidor es vulnerable a Heartbleed
-70 puntos
* incluyendo la falta de coincidencia entre el CN del certificado y SAN, a menos que la prueba sea para una IP y la PTR de la IP coincida con el dominio del CN y SAN