AZ Tools

Decodificador de Suite de Cifrado TLS

Red

Los nombres de suites de cifrado parecen impenetrables pero están estrictamente estructurados. Para TLS 1.2 e inferiores la forma es TLS_<KX>_<AUTH>_WITH_<CIPHER>_<MAC>: KX es el intercambio de claves (RSA no aporta secreto futuro, ECDHE/DHE sí), AUTH es cómo el servidor prueba identidad (RSA / ECDSA / DSS / anon / PSK), la mitad del cifrado nombra el algoritmo simétrico y modo (AES-128/256 en GCM/CCM/CBC, ChaCha20-Poly1305, 3DES-CBC, RC4...), y la mitad MAC es el hash HMAC o PRF (SHA, SHA256, SHA384, MD5). TLS 1.3 colapsa a TLS_<CIPHER>_<HASH> porque el intercambio y la autenticación se negocian aparte; solo se permiten cifrados AEAD. Este decodificador analiza cualquier nombre bien formado, marca falta de secreto futuro, modos no-AEAD (CBC con décadas de ataques de padding oracle), cifrados rotos (NULL, RC4, DES, 3DES, exportación) y hashes débiles (MD5, SHA-1), y asigna una calificación.
Haz clic en un ejemplo
Suite analizada
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
A
Protocolo
TLS 1.2 / earlier
Intercambio de claves
ECDHE
Autenticación
RSA
Cifrado
AES (256-bit)
Modo
GCM
MAC / PRF
SHA384
Secreto futuro
AEAD
Servidor autenticado
Fuerza del cifrado
● strong
Fuerza del hash
● strong
Notas
  • Suite moderna, con secreto futuro, AEAD — recomendada para producción.
Referencia: IANA TLS Cipher Suite Registry

Cómo usar

  1. Pega o escribe cualquier nombre de suite TLS (los separadores se normalizan automáticamente).
  2. O haz clic en una de las suites de ejemplo para comparar suites modernas, heredadas y deliberadamente rotas.
  3. Lee la cuadrícula de componentes: protocolo, intercambio de claves, autenticación, cifrado, modo, MAC.
  4. Revisa la fila de seguridad — secreto futuro, AEAD, autenticación, fuerza del cifrado, fuerza del hash — y la calificación general.
  5. Copia el reporte completo en texto plano con el botón inferior derecho.

Preguntas frecuentes

¿Por qué el intercambio de claves RSA se considera malo?
El intercambio RSA estático significa que la misma clave privada del servidor cifra el premaster de cada sesión. Si esa clave alguna vez se filtra, toda sesión pasada grabada puede ser descifrada retroactivamente. ECDHE y DHE generan claves efímeras por sesión — incluso si la clave del certificado a largo plazo se compromete, las sesiones pasadas permanecen confidenciales. Esta propiedad se llama secreto futuro y las implementaciones modernas de TLS lo requieren.
¿Qué hay de malo con el modo CBC?
CBC por sí solo no está roto, pero la forma en que TLS 1.0–1.2 combinan CBC con HMAC tiene una larga historia de ataques de padding oracle: BEAST, Lucky 13, POODLE y varias variantes de timing. Los cifrados AEAD (GCM, CCM, ChaCha20-Poly1305) autentican el texto cifrado directamente y evitan toda la clase. TLS 1.3 eliminó CBC por completo.
¿SHA-1 está roto en contextos TLS?
Las colisiones SHA-1 fueron demostradas (SHAttered, 2017), y los certificados firmados con SHA-1 dejaron de ser confiables alrededor de 2017. Dentro de los nombres de suite, '_SHA' (sin número) significa HMAC-SHA1 usado como MAC, lo cual es mucho más difícil de atacar que la resistencia a colisiones, pero igual se marca como débil porque ningún perfil moderno de TLS lo usa.
¿Qué significa la calificación A+/A?
A+ = TLS 1.3 (siempre AEAD, siempre secreto futuro). A = TLS 1.2 con ECDHE + AEAD + SHA-2. B = ECDHE + CBC + SHA-2 (funcional, no preferido). C = sin secreto futuro o SHA-1. D = 3DES, sin PFS + CBC. F = anónimo, RC4, DES, NULL, grado exportación. Es heurística aproximada, no un sistema oficial — para calificación productiva consulta las guías Mozilla TLS Server Side o SSL Labs.

Herramientas relacionadas

Inspector de Dirección IP

Escribe una dirección IPv4 o IPv6 y ve su clase, scope (privada / pública / loopback / link-local), valor decimal, binario, notación reverse-DNS y CIDR /32.

Red00

Referencia de Puertos

Cheat sheet buscable de ~60 puertos TCP / UDP estándar — desde 22 (SSH) y 80 (HTTP) hasta 6379 (Redis) y 27017 (MongoDB).

Red00

Referencia de Registros DNS

Hoja de referencia buscable de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — con ejemplos.

Red00

Calculadora de Subred (IPv4 / CIDR)

Parsea CIDR IPv4 en dirección de red, broadcast, netmask, wildcard, rango de hosts y clase. Muestra desglose binario y estado privado/público.

Red00

Parser de User Agent

Parsea string User-Agent en navegador, engine, OS, dispositivo y CPU. Detecta 20+ bots incluyendo GPTBot, ClaudeBot, PerplexityBot.

Red00

Referencia de Códigos de Estado HTTP

Lista buscable de todos los códigos HTTP (1xx-5xx) con resumen, RFC, cuándo usar y trampas frecuentes.

Red00