A.8.24 ISO 27002:2022 (cifrado en tránsito)
¿La aplicación expone únicamente protocolos TLS modernos (1.2 y 1.3) con cipher suites robustos, certificado vigente válidamente firmado y sin vulnerabilidades conocidas (Heartbleed, POODLE, BEAST, etc.)?
Ejecutar una prueba dinámica de TLS contra el endpoint público app.omnicontrol.co usando testssl.sh o equivalente. Validar: protocolos habilitados (solo TLS 1.2/1.3), cipher suites (solo seguros), validez del certificado, ausencia de vulnerabilidades conocidas (Heartbleed, BEAST, FREAK, Logjam, POODLE, DROWN, ROBOT).
Reporte de testssl.sh con clasificación de protocolos, cipher suites y vulnerabilidades. Cadena de confianza del certificado verificada.
Aunque las cabeceras HTTP (HSTS, CSP) presentan brechas (cubiertas por H-05), la configuración fundamental de TLS en OmniControl está implementada correctamente y constituye una buena práctica de partida que debe reconocerse formalmente.
- 01¿TLS 1.2 y 1.3 son los únicos protocolos ofrecidos?
- 02¿Los cipher suites tienen 'strong' rating?
- 03¿El certificado tiene cadena de confianza completa y vigente?
- 04¿Hay alguna vulnerabilidad TLS conocida (Heartbleed, BEAST, POODLE)?
- 05¿La firma del certificado usa SHA256 o superior?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.