¿Qué exige este criterio?
TLS 1.2/1.3 con suites modernas en TODAS las comunicaciones del servicio, incluyendo las internas entre componentes (microservicios, conexiones a BBDD, conexiones al HSM). Validación periódica con herramientas tipo Qualys SSL Labs (objetivo A o A+). Erradicación total de SSLv3, TLS 1.0/1.1, RC4, DES, etc.

¿Qué hay que revisar al cliente?

• Versiones TLS aceptadas en cada endpoint del servicio.
• Suites criptográficas habilitadas (alineadas con TS 119 312).
• Resultado de un escaneo Qualys SSL Labs reciente.
• Cifrado de las conexiones internas (no solo externas).
• Gestión de certificados TLS y su renovación.

Preguntas clave para las entrevistas

• ¿Está TLS 1.0/1.1 desactivado en todos los endpoints del servicio?
• ¿Qué suites criptográficas están habilitadas?
• ¿Cómo se renuevan los certificados TLS y quién los gestiona?
• ¿Hay comunicaciones internas en claro?

¿Por qué es esencial para QERDS y TSA?
Comunicaciones en claro permiten interceptación y modificación. Para un servicio cualificado esto compromete directamente la integridad de las evidencias y los datos. El TLS débil se detecta con cualquier escáner automático.

Evidencia que demostraría conformidad

• Configuración TLS de los endpoints.
• Informe Qualys SSL Labs reciente (A o A+).
• Procedimiento de gestión de certificados.