Herramienta de diagnóstico de versión del protocolo TLS

Introduce un nombre de dominio para comprobar qué versiones de TLS (1.0 a 1.3) admite. Verifica gratis si tu servidor todavía tiene habilitadas versiones obsoletas.

Consejos de uso

  • El estándar PCI DSS (seguridad de la industria de tarjetas de pago) exige desde 2018 deshabilitar TLS 1.0/1.1 por considerarlos "protocolos insuficientemente seguros". Los sitios que procesan pagos deben comprobarlo primero.
  • A diferencia de un verificador de certificados SSL, que revisa la fecha de caducidad y el emisor, esta herramienta diagnostica la propia configuración a nivel de protocolo: qué versiones está dispuesto a negociar el servidor. Usar ambas juntas da una visión más completa.
  • Dejar habilitado TLS 1.0/1.1 no interrumpe el tráfico habitual de inmediato, pero los navegadores principales están avanzando hacia rechazarlos por defecto, así que deshabilitarlos pronto reduce riesgos de compatibilidad futuros.
  • Por el contrario, si tanto TLS 1.2 como 1.3 están deshabilitados, es muy probable que exista un error de configuración, ya que los navegadores modernos podrían no poder conectarse en absoluto; trátalo como el problema de mayor prioridad.
  • Si tu sitio funciona en hosting compartido o detrás de una CDN, la configuración de versión TLS suele controlarla el proveedor de hosting, así que informa de cualquier problema detectado a su soporte técnico.

Preguntas frecuentes

TLS 1.0, estandarizado en 1999, es un protocolo antiguo afectado por debilidades criptográficas explotadas por ataques como BEAST y POODLE. PCI DSS exigió abandonar TLS 1.0/1.1 antes de finales de junio de 2018, y los navegadores principales han ido retirando su soporte desde entonces.

Basta con introducir tu dominio en esta herramienta. Intenta un handshake real para cada versión de TLS 1.0 a 1.3 y muestra cuáles tienen éxito, sin necesidad de herramientas de línea de comandos como openssl.

Sistemas operativos y navegadores muy antiguos (como el navegador predeterminado de Windows XP) podrían perder el acceso, pero todos los navegadores y sistemas operativos principales actuales ya son compatibles con TLS 1.2 o superior, así que el impacto práctico suele ser mínimo.

TLS 1.3, estandarizado en 2018, ofrece handshakes más rápidos y una selección de conjuntos de cifrado más simple y segura. TLS 1.2 tampoco tiene vulnerabilidades críticas conocidas, así que un enfoque habitual es habilitar ambos: los clientes más nuevos usan 1.3 mientras los antiguos recurren a 1.2.

Esta herramienta solo diagnostica la compatibilidad de versión de protocolo. Para comprobar la caducidad, el emisor o las entradas SAN del certificado, usa el verificador de certificados SSL de la misma categoría.
ツールくん

A propósito — La evolución de las versiones de TLS y sus vulnerabilidades

SSL, el predecesor de TLS, fue desarrollado por Netscape a mediados de los años 90, pero tanto SSL 2.0 como 3.0 tenían fallos de diseño fundamentales. TLS 1.0, estandarizado en 1999 como sucesor de SSL 3.0, seguía sufriendo un manejo inadecuado de los vectores de inicialización en cifrados de modo CBC en algunas implementaciones, una debilidad que el ataque BEAST demostró en 2011.

En 2014, el ataque POODLE expuso un fallo de diseño en el propio SSL 3.0, y la preocupación se extendió rápidamente a TLS 1.0/1.1 por su arquitectura similar. PCI DSS, el estándar de seguridad de la industria de tarjetas de pago, anunció en 2015 una prohibición progresiva de TLS 1.0 y fijó junio de 2018 como plazo final para migrar completamente desde TLS 1.1 e inferiores.

TLS 1.3, estandarizado en 2018, aprendió de estas vulnerabilidades pasadas eliminando de la especificación conjuntos de cifrado propensos a debilidades (como RC4 y los cifrados de bloque en modo CBC) y reduciendo el número de idas y vueltas del handshake. Hoy en día, la mayoría de los navegadores y el software de servidor principales habilitan TLS 1.3 por defecto y ya han dejado de admitir TLS 1.0/1.1.

Aun así, en todo el mundo existen servidores que dependen de sistemas antiguos, y no es raro encontrar TLS 1.0/1.1 habilitado sin que nadie se dé cuenta. Hacer visible de un vistazo una configuración que los administradores fácilmente pasan por alto es precisamente el valor que aporta una herramienta de diagnóstico como esta.