SSL-Sicherheit testen
Aus Interesse habe ich mal einige bekanntere Webseiten durch zwei SSL-Checks laufen lassen, um zu gucken wer patzt bzw. wer vieles richtig macht. Dazu habe ich die Online-Services von ssllabs.com und wormly.com genutzt. Einfach Domain eingeben, und schon hat man Ergebnisse. Dabei ist der Test von wormly.com ausführlicher und strenger, deshalb ist die Tabelle auch danach sortiert. Eigentlicher Ansporn war der Vergleich von mail.de mit anderen E-Mail-Anbietern (blau markiert), und dann habe ich noch weitere hinzufügt:
| Webseite | ssllabs | wormly |
|---|---|---|
| https://www.facebook.com | A (87) | 100% |
| https://mail.de | A (87) | 96% |
| https://soundcloud.com | A (85) | 96% |
| https://edit.php.net | A (85) | 96% |
| https://www.wikipedia.org | A (88) | 96% |
| https://www.mozilla.org | A (86) | 93% |
| https://twitter.com | A (88) | 93% |
| https://www.computerbild.de | A (90) | 90% |
| https://www.google.de | A (87) | 89% |
| https://webmail.freenet.de | C (61) | 87% |
| https://www.xing.com | A (90) | 86% |
| https://www.bahn.de | A (85) | 86% |
| https://banking.sparkasse-muensterland-ost.de | A (90) | 86% |
| https://www.lufthansa.com | A (88) | 86% |
| https://github.com | A (85) | 86% |
| https://www.arcor.de | B (66) | 86% |
| https://www.slideshare.net | A (85) | 86% |
| https://1und1.de | A (85) | 83% |
| https://www.stern.de | A (88) | 82% |
| https://www.sparkasse.de | C (61) | 80% |
| https://web.de | A (85) | 79% |
| https://www.gmx.net | A (85) | 79% |
| https://www.spiegel.de | A (85) | 79% |
| https://signin.ebay.de | A (88) | 75% |
| https://amazon.de | A (85) | 75% |
| https://www.microsoft.com | A (88) | 75% |
| https://www.immobilienscout24.de | C (54) | 73% |
| https://www.hrs.de | C (54) | 69% |
| https://www.hotel.de | C (54) | 69% |
| https://email.t-online.de | C (52) | 65% |
Für die Einzelergebnisse einfach rechts auf die Zahl klicken.
Wie man sieht sind einige große Anbieter dabei die Probleme haben, gerade wenn man sich die letzten 10 Plätze anschaut entdeckt man einige große, von denen man mehr erwartet hätte. Wenn man sich die Details anschaut sieht man häufig dass Anfälligkeiten für BEAST (Browser Exploit Against SSL/TLS) oder CRIME (Compression Ratio Info-leak Made Easy) vorhanden sind. Manchmal unsichere Ciphers oder Protocols, mal fehlende oder unsichere SSL-Features.
Bevor man in Panik ausbricht nur mal so eingeworfen: BEAST und CRIME sind recht komplizierte Angriffe und deshalb (noch?) in der Regel unrentabel in den meisten Szenarien.
KingCrunch
29 Nov 12 at 11:34
Die Kriterien von Wormly finde ich teilweise auch sehr fraglich.
Z.B. wird bei jeder Key Size größer als 1024 gesagt, dass es unnütz sei…
Und bei Performance auch: Wer sagt, dass Keep Alive und Session Caching wirklich besser wären?!
Terraloader
29 Nov 12 at 11:52
Ui, A (85), muss ich mir jetzt Sorgen machen oder erfreut über das A sein? ^^
Certificate 100
Protocol Support 90
Key Exchange 80
Cipher Strength 90
Chris
29 Nov 12 at 12:33
Meine Testergebnisse https://secure.anonsphere.com/
und
Die fehlenden 9% sind BEAST und CRIME, wobei beide für bedingt kritisch halte, weil sie z. T. sehr alte Browser voraussetzen. Ausserdem hat cherokee noch nicht die Optionen, um das zu verhindern.
Oliver
29 Nov 12 at 13:06
Also Cherokee hat einen Patch geliefert, der die User SSL Preference ausser Kraft setzt. Das scheint ssllabs aber nicht zu erkennen. Die einzige Möglichkeit wäre dann noch TLS 1.2 und 1.1 zu implementieren, was aber kaum Browser unterstützen. Die Verbesserungen wären dann nur für den Test – das ist es mir nicht wert. 😉
Oliver
29 Nov 12 at 14:58
Cherokee hat beide Patches fertig gemacht. Erst mal großes Lob an das neue Team von denen.
Ich hab die letzte Stunde mal rum probiert. Also das Beste, was man erreichen kann bei ssllabs sind 93 Punkte. Man kann auf 100 kommen, wenn man auf SSLv3 und alle Medium Cipher verzichtet. Das macht aber nur begrenzt Sinn, weil man damit alle IE6 Nutzer aussperrt.
Oliver
29 Nov 12 at 21:25