Generador de configuración SSL de Mozilla

 (ssl-config.mozilla.org)
2 puntos por GN⁺ 2025-11-16 | 1 comentarios | Compartir por WhatsApp
  • Herramienta que genera automáticamente configuraciones SSL/TLS para distintos tipos de software de servidor
  • Compatible con más de 20 entornos de servidor, incluidos Apache, nginx, HAProxy y Tomcat
  • Ofrece tres perfiles de configuración de Mozilla: Modern, Intermediate y Old, para elegir entre nivel de seguridad y compatibilidad
  • Genera configuraciones personalizadas al ingresar la versión de OpenSSL y la versión del servidor, e incluye la opción de redirección HTTPS
  • Una herramienta útil que, en conjunto con las guías de seguridad de Mozilla, permite implementar fácilmente configuraciones seguras de servidor

Descripción general

  • Mozilla SSL Configuration Generator es una herramienta web que ayuda a los administradores de servidores a generar fácilmente configuraciones SSL/TLS seguras
  • Basada en las políticas de seguridad de Mozilla y en las configuraciones TLS recomendadas, genera automáticamente scripts de configuración adaptados a cada entorno de servidor

Software de servidor compatible

  • Entre los entornos compatibles se incluyen Apache, AWS ALB/ELB, Caddy, Coturn, Dovecot, Exim, Go, HAProxy, Jetty, lighttpd, MySQL, nginx, Oracle HTTP, Postfix, PostgreSQL, ProFTPD, Redis, Squid, stunnel, Tomcat y Traefik
  • Proporciona plantillas de configuración SSL optimizadas para cada servidor

Perfiles de configuración de Mozilla

  • Modern: compatible con TLS 1.3, para servicios modernos que no requieren compatibilidad hacia atrás
  • Intermediate: para servidores de uso general que consideran la compatibilidad con distintos clientes; recomendado para la mayoría de los sistemas
  • Old: usar solo cuando sea necesario mantener compatibilidad con clientes muy antiguos

Opciones de configuración del entorno

  • Genera configuraciones adecuadas para el entorno al ingresar Server Version y OpenSSL Version
  • Incluye la función de redirección HTTPS y requiere JavaScript activado

Referencias y recursos

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-16
Comentarios en Hacker News

  • En una línea similar, hay herramientas como SecurityHeaders, que puede escanear los headers de seguridad de un sitio web; SSL Labs Test, que valida la configuración TLS; y testssl.sh, que permite escanear sitios desde la línea de comandos
    Son útiles en entornos sin acceso a internet o cuando se generan reportes HTML automatizados

    • Necesitaba escanear dentro de una red interna, pero como testssl.sh era demasiado lento, usé un escáner hecho por mí: hello_tls
      Incluso con paralelización y desactivando opciones, tardaba al menos 20 segundos, pero la herramienta nueva es 60 a 100 veces más rápida
      No analiza vulnerabilidades, pero el objetivo era extraer la configuración
    • Pero no estoy de acuerdo con el sitio de security headers
      Cada header cumple una función distinta y, según el propósito del sitio, hay casos en los que no debería aplicarse
      Por ejemplo, aunque exista un header CSP, muchas veces en la práctica está configurado de forma inútil

  • No entiendo por qué todavía usan el término “SSL
    Se siente como si hubieran olvidado los avances técnicos de los últimos 10 años

    • Yo también uso “TLS”, pero no es fácil
      Si le dices a un cliente que vas a configurar un certificado TLS, muchas veces se preocupa y responde “nosotros necesitamos SSL”
      Al final es un problema de reconocimiento. Los usuarios comunes no conocen TLS, y las empresas siguen usando SSL para evitar confusiones
      La página de SSL de Cloudflare también tiene la ruta como SSL, aunque el contenido está centrado en TLS, lo cual resulta confuso
    • SSL fue desarrollado por Netscape en los 90, y después evolucionó a TLS
      Como Netscape Navigator derivó en Mozilla, también se entiende que Mozilla siga usando mucho la terminología SSL
    • La tecnología de los últimos 10 años ha producido código enorme y complejo
      Creo que el mundo estaría mejor si desapareciera el 75% del software que existe hoy
    • Antes no existía SSL, y cuando apareció era una tecnología curiosa y costosa
      Después se convirtió en el nombre genérico para HTTP cifrado, y aunque el nombre del protocolo cambió a TLS, se siguió llamando SSL
    • Yo todavía digo SSL con frecuencia

  • La configuración de cifrados no debería dejarse en manos de desarrolladores de aplicaciones u operadores
    Vale la pena leer el artículo del blog de Go sobre TLS Cipher Suites
    Mozilla SSL Configuration Generator es excelente, pero en realidad es una herramienta que no debería tener que existir

    • La configuración de cifrados tiene un alto costo de mantenimiento, y con el tiempo se vuelve cada vez más ineficiente
      Bibliotecas como OpenSSL ya tenían cipher preset, así que es extraño que el generador no se base en eso
      Por ejemplo, una combinación como “HIGH:!kRSA:!kEDH:!SHA1:!CAMELLIA:!ARIA” permite mantener la seguridad y al mismo tiempo usar algoritmos modernos
      Este tipo de configuración evita desactivar por error cipher suites potentes como ECC o ChaCha20
      También por esta razón existen servidores que no pueden soportar EdDSA o algoritmos híbridos post-quantum

  • Es irónico que hoy sigan incluyendo OCSP stapling
    Porque los navegadores y Let's Encrypt ya han descartado OCSP en la práctica

  • Mozilla también ofrece una guía de configuración de SSH
    Se puede consultar la guía de seguridad de OpenSSH

  • Ojalá ofrecieran una configuración turnkey donde el desarrollador del servidor solo tuviera que indicar el año o el nivel de seguridad (secure, medium, loose)
    Elegir ciphers SSL ya está casi al nivel de un cargo cult, y la verdad es que no tengo idea de lo que estoy haciendo

  • Me preguntaba por qué recomiendan configurar SSLHonorCipherOrder en Off

    • nginx lo recomienda en Off por la misma razón
      Como los ciphers de nivel Modern e Intermediate son todos seguros, es más eficiente dejar que el cliente elija el cipher que mejor se adapte a su hardware
      Esto está explicado en un comentario del issue y en la wiki de Mozilla

  • Es una lástima que el generador de configuración no tenga una opción para mTLS (TLS mutuo)
    Sería muy útil en situaciones donde se requieren certificados de cliente, pero parece que quedó fuera por ser una función demasiado de nicho

    • Como es una herramienta enfocada en la configuración de la comunicación inicial del servidor web, los mecanismos de autenticación quedan fuera de su alcance
    • Manejar certificados de cliente requiere conocimientos avanzados, como montar una CA, así que claramente es un área limitada

  • Parece que la entrada “AWS ELB” se refiere a Classic Load Balancer
    Ahora “AWS ALB” significa Application Load Balancer, así que la terminología resulta confusa

    • Probablemente es una configuración que existe desde antes de la aparición de ALB, y parece que no se ha actualizado mucho

  • Estaría bien tener una herramienta similar para configurar OpenSSL