Seguridad en redes y protocolos HTTPS
Nombre: ___________________________
Fecha: ____________________________
Puntaje: __________________________
1.
¿Cuál es el propósito principal del protocolo HTTPS?
Acelerar la carga de páginas web
Cifrar la comunicación entre cliente y servidor
Reducir el ancho de banda utilizado
Almacenar contraseñas de forma segura
Cifrar la comunicación entre cliente y servidor
2.
¿Qué componente del ecosistema TLS emite y firma los certificados digitales?
El servidor web
El navegador del cliente
Una Autoridad de Certificación (CA)
El registrador de dominios
Una Autoridad de Certificación (CA)
3.
En el handshake TLS 1.2, ¿qué intercambian cliente y servidor para acordar el cifrado?
Las claves privadas
Una lista de cifrados (cipher suites) soportados
Los certificados raíz de las CA
Las contraseñas de usuario
Una lista de cifrados (cipher suites) soportados
4.
¿Qué tipo de certificado valida solo que el dominio está controlado por quien solicita el certificado, sin verificar la identidad legal?
Extended Validation (EV)
Organization Validation (OV)
Domain Validation (DV)
Wildcard
Domain Validation (DV)
5.
¿Cómo se llama el mecanismo que obliga al navegador a comunicarse solo por HTTPS, evitando conexiones HTTP inseguras? (siglas)
Respuesta: ____________________________________________
HSTS
6.
¿Qué ventaja de seguridad aporta el uso de forward secrecy en TLS?
Permite reutilizar la misma clave de sesión en múltiples conexiones
Asegura que la clave de sesión no se pueda derivar a partir de la clave privada del servidor
Simplifica el proceso de renovación de certificados
Evita la necesidad de certificados digitales
Asegura que la clave de sesión no se pueda derivar a partir de la clave privada del servidor
7.
En un ataque Man-in-the-Middle (MitM) contra HTTPS, ¿qué debe hacer el atacante para que el navegador confíe en la conexión?
Modificar los registros DNS sin alterar certificados
Insertar un certificado falso firmado por una CA que el navegador no conoce
Interceptar el tráfico y presentar un certificado válido para otro dominio
Obtener un certificado firmado por una CA de confianza para el dominio legítimo, pero usando una clave privada propia
Obtener un certificado firmado por una CA de confianza para el dominio legítimo, pero usando una clave privada propia
8.
¿Qué protocolo de verificación permite consultar en tiempo real si un certificado ha sido revocado?
CRL (Certificate Revocation List)
OCSP (Online Certificate Status Protocol)
SSL Pinning
Certificate Transparency
OCSP (Online Certificate Status Protocol)
9.
¿Cuál de las siguientes afirmaciones sobre TLS 1.3 es correcta?
Elimina la posibilidad de negociar cifrados inseguros y reduce los viajes de ida y vuelta (round trips) a 1 o 2
Requiere obligatoriamente el uso de certificados EV
No soporta el intercambio de claves con Diffie-Hellman
Solo permite cifrados simétricos, sin autenticación
Elimina la posibilidad de negociar cifrados inseguros y reduce los viajes de ida y vuelta (round trips) a 1 o 2
10.
El ataque que consiste en interceptar una conexión HTTPS y degradarla a HTTP para leer el tráfico en texto plano se llama _____.
Respuesta: ____________________________________________
SSL stripping
11.
¿Qué campo de un certificado X.509 indica los nombres de dominio para los cuales es válido?
Subject
Issuer
Subject Alternative Name (SAN)
Basic Constraints
Subject Alternative Name (SAN)
12.
Un certificado wildcard (*.ejemplo.com) es válido para:
Cualquier subdominio de ejemplo.com, incluyendo subdominios de segundo nivel como a.b.ejemplo.com
Solo subdominios directos (un solo nivel), como www.ejemplo.com, pero no a.b.ejemplo.com
Cualquier dominio que termine en .com
Únicamente el dominio ejemplo.com, sin subdominios
Solo subdominios directos (un solo nivel), como www.ejemplo.com, pero no a.b.ejemplo.com
13.
¿Qué ventaja tiene el uso de Certificate Transparency (CT)?
Elimina la necesidad de CA
Permite detectar certificados emitidos de forma fraudulenta al requerir que sean registrados en logs públicos
Acelera el handshake TLS en un 50%
Reemplaza a OCSP para la revocación
Permite detectar certificados emitidos de forma fraudulenta al requerir que sean registrados en logs públicos
14.
En la autenticación mutua TLS (mutual TLS), el servidor también verifica la identidad del cliente mediante un certificado. ¿Cómo se denomina este flujo? (siglas)
Respuesta: ____________________________________________
mTLS
15.
¿Cuál de los siguientes ataques aprovecha vulnerabilidades en la implementación de SSL/TLS para descifrar datos cifrados sin conocer la clave?
POODLE
Slowloris
SQL Injection
Cross-Site Scripting (XSS)
POODLE
16.
¿Qué significa que un sitio web utilice 'mixed content' en una página servida por HTTPS?
Que incluye recursos (imágenes, scripts) cargados a través de HTTP
Que utiliza múltiples certificados SSL diferentes
Que combina contenido de texto e imágenes
Que ofrece versiones en varios idiomas
Que incluye recursos (imágenes, scripts) cargados a través de HTTP
17.
¿Cuál es el propósito de la bandera 'Secure' en una cookie HTTP?
Indica que la cookie debe ser enviada solo a través de conexiones HTTPS
Firma digitalmente la cookie para verificar su integridad
Encripta el valor de la cookie en el lado del servidor
Impide que scripts del lado del cliente accedan a la cookie
Indica que la cookie debe ser enviada solo a través de conexiones HTTPS
18.
Nombre del ataque que reutiliza una sesión TLS previamente establecida sin autenticación adecuada para suplantar al cliente: _____.
Respuesta: ____________________________________________
replay attack
19.
¿Qué elemento del certificado X.509 permite vincular la clave pública a la identidad del titular?
La huella digital (thumbprint) del certificado
La firma digital de la CA emisora
El número de serie del certificado
La fecha de expiración
La firma digital de la CA emisora
20.
En el contexto de HTTPS, ¿qué significa que un sitio implemente 'certificate pinning'?
El navegador almacena una copia local del certificado para acelerar conexiones futuras
El sitio asocia una o varias claves públicas específicas con su nombre de dominio, rechazando otras incluso si están firmadas por CA
Se exige que el certificado sea renovado cada 30 días
El servidor envía el certificado comprimido para reducir latencia
El sitio asocia una o varias claves públicas específicas con su nombre de dominio, rechazando otras incluso si están firmadas por CA
Respuestas
-
B.
Cifrar la comunicación entre cliente y servidor
-
C.
Una Autoridad de Certificación (CA)
-
B.
Una lista de cifrados (cipher suites) soportados
-
C.
Domain Validation (DV)
-
HSTS
-
B.
Asegura que la clave de sesión no se pueda derivar a partir de la clave privada del servidor
-
D.
Obtener un certificado firmado por una CA de confianza para el dominio legítimo, pero usando una clave privada propia
-
B.
OCSP (Online Certificate Status Protocol)
-
A.
Elimina la posibilidad de negociar cifrados inseguros y reduce los viajes de ida y vuelta (round trips) a 1 o 2
-
SSL stripping
-
C.
Subject Alternative Name (SAN)
-
B.
Solo subdominios directos (un solo nivel), como www.ejemplo.com, pero no a.b.ejemplo.com
-
B.
Permite detectar certificados emitidos de forma fraudulenta al requerir que sean registrados en logs públicos
-
mTLS
-
A.
POODLE
-
A.
Que incluye recursos (imágenes, scripts) cargados a través de HTTP
-
A.
Indica que la cookie debe ser enviada solo a través de conexiones HTTPS
-
replay attack
-
B.
La firma digital de la CA emisora
-
B.
El sitio asocia una o varias claves públicas específicas con su nombre de dominio, rechazando otras incluso si están firmadas por CA