PHPGangsta - Der praktische PHP Blog

PHP Blog von PHPGangsta


SSL-Sicherheit testen

with 6 comments

Aus Interesse habe ich mal einige bekanntere Webseiten durch zwei SSL-Checks laufen lassen, um zu gucken wer patzt bzw. wer vieles richtig macht. Dazu habe ich die Online-Services von ssllabs.com und wormly.com genutzt. Einfach Domain eingeben, und schon hat man Ergebnisse. Dabei ist der Test von wormly.com ausführlicher und strenger, deshalb ist die Tabelle auch danach sortiert. Eigentlicher Ansporn war der Vergleich von mail.de mit anderen E-Mail-Anbietern (blau markiert), und dann habe ich noch weitere hinzufügt:

Webseitessllabswormly
https://www.facebook.comA (87)100%
https://mail.deA (87)96%
https://soundcloud.comA (85)96%
https://edit.php.netA (85)96%
https://www.wikipedia.orgA (88)96%
https://www.mozilla.orgA (86)93%
https://twitter.comA (88)93%
https://www.computerbild.deA (90)90%
https://www.google.deA (87)89%
https://webmail.freenet.deC (61)87%
https://www.xing.comA (90)86%
https://www.bahn.deA (85)86%
https://banking.sparkasse-muensterland-ost.deA (90)86%
https://www.lufthansa.comA (88)86%
https://github.comA (85)86%
https://www.arcor.deB (66)86%
https://www.slideshare.netA (85)86%
https://1und1.deA (85)83%
https://www.stern.deA (88)82%
https://www.sparkasse.deC (61)80%
https://web.deA (85)79%
https://www.gmx.netA (85)79%
https://www.spiegel.deA (85)79%
https://signin.ebay.deA (88)75%
https://amazon.deA (85)75%
https://www.microsoft.comA (88)75%
https://www.immobilienscout24.deC (54)73%
https://www.hrs.deC (54)69%
https://www.hotel.deC (54)69%
https://email.t-online.deC (52)65%

Für die Einzelergebnisse einfach rechts auf die Zahl klicken.

Wie man sieht sind einige große Anbieter dabei die Probleme haben, gerade wenn man sich die letzten 10 Plätze anschaut entdeckt man einige große, von denen man mehr erwartet hätte. Wenn man sich die Details anschaut sieht man häufig dass Anfälligkeiten für BEAST (Browser Exploit Against SSL/TLS) oder CRIME (Compression Ratio Info-leak Made Easy) vorhanden sind. Manchmal unsichere Ciphers oder Protocols, mal fehlende oder unsichere SSL-Features.

Written by Michael Kliewe

November 29th, 2012 at 11:10 am

Posted in Server-Software

Tagged with , , ,

6 Responses to 'SSL-Sicherheit testen'

Subscribe to comments with RSS or TrackBack to 'SSL-Sicherheit testen'.

  1. Bevor man in Panik ausbricht nur mal so eingeworfen: BEAST und CRIME sind recht komplizierte Angriffe und deshalb (noch?) in der Regel unrentabel in den meisten Szenarien.

    KingCrunch

    29 Nov 12 at 11:34

  2. Die Kriterien von Wormly finde ich teilweise auch sehr fraglich.
    Z.B. wird bei jeder Key Size größer als 1024 gesagt, dass es unnütz sei…
    Und bei Performance auch: Wer sagt, dass Keep Alive und Session Caching wirklich besser wären?!

    Terraloader

    29 Nov 12 at 11:52

  3. Ui, A (85), muss ich mir jetzt Sorgen machen oder erfreut über das A sein? ^^

    Certificate 100
    Protocol Support 90
    Key Exchange 80
    Cipher Strength 90

    Chris

    29 Nov 12 at 12:33

  4. Meine Testergebnisse https://secure.anonsphere.com/

    https://www.ssllabs.com/ssltest/analyze.html?d=secure.anonsphere.com
    Overall Rating A 91

    Certificate 100
    Protocol Support 85
    Key Exchange 100
    Cipher Strength 90

    und

    https://www.wormly.com/test_ssl/h/secure.anonsphere.com/i/81.30.157.34/p/443
    100% secure.anonsphere.com

    Die fehlenden 9% sind BEAST und CRIME, wobei beide für bedingt kritisch halte, weil sie z. T. sehr alte Browser voraussetzen. Ausserdem hat cherokee noch nicht die Optionen, um das zu verhindern.

    Oliver

    29 Nov 12 at 13:06

  5. Also Cherokee hat einen Patch geliefert, der die User SSL Preference ausser Kraft setzt. Das scheint ssllabs aber nicht zu erkennen. Die einzige Möglichkeit wäre dann noch TLS 1.2 und 1.1 zu implementieren, was aber kaum Browser unterstützen. Die Verbesserungen wären dann nur für den Test – das ist es mir nicht wert. 😉

    Oliver

    29 Nov 12 at 14:58

  6. Cherokee hat beide Patches fertig gemacht. Erst mal großes Lob an das neue Team von denen.

    Ich hab die letzte Stunde mal rum probiert. Also das Beste, was man erreichen kann bei ssllabs sind 93 Punkte. Man kann auf 100 kommen, wenn man auf SSLv3 und alle Medium Cipher verzichtet. Das macht aber nur begrenzt Sinn, weil man damit alle IE6 Nutzer aussperrt.

    Oliver

    29 Nov 12 at 21:25

Leave a Reply

You can add images to your comment by clicking here.