Verschlüsselungstest für SSL Seiten

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 19.09.2013 - 19:47 Uhr  ·  #1
Hallo,

auf dieser Seite könnt Ihr die SSL Verschlüsselung von https [Bank :) ]-Servern testen. Die Ergebnisse sind teilweise schockierend.
https://www.ssllabs.com/ssltest/

Zur Info:
RC4 ist mittlerweile auch nicht mehr das Mittel der Wahl gegen "Beast"
siehe u.A.


https://www.ssllabs.com/projects/best-practices/

https://www.ssllabs.com/projects/rating-guide/index.html

https://community.qualys.com/b…l-a-threat

https://community.qualys.com/b…n-now-what

https://community.qualys.com/b…recate-rc4

Hier noch etwas über Ciphers / TLS 1.x Browserkompatibilität
http://en.wikipedia.org/wiki/Transport_Layer_Security

@Raimund: ggf. etwas für die Linksammlung

Gruß,
Vader
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 19.09.2013 - 20:08 Uhr  ·  #2
Hallo Vader,

Danke für die Links, das Thema wollte ich selbst auch schon wg. einiger Nachfragem thematisieren, da ich mich hier in der Theorie zu wenig auskenne.

Das größte Problem für die Bankserver dürfte doch die Browserkompatibilität sein, oder?
Mit dem Sterben von Win XP könnte hier natürlich etwas Bewegung rein kommen, aber das dauert noch ein paar Monate.

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 19.09.2013 - 21:03 Uhr  ·  #3
Hallo,
wenn man die Cipher richtig anordnet und TLS 1.2 aktiviert, werden die Browser auch je nach ihren Möglichkeiten mit der maximalen Sicherheit "versorgt".

Wenn man natürlich einfach RC4 an die erste Stelle setzt, bekommen halt auch aktuelle Browser mit TLS 1.2 Support nur eine schwache Verschlüsselung.
Der Browser sucht sich schon das was passt.
Den Cipher für IE6 unter XP stellt man halt ans Ende.
Im Testergebnis werden die genutzten Cipher für den jeweilgen Browser aufgeführt.

Gruß,
Vader
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 20.09.2013 - 08:26 Uhr  ·  #4
etwas einfacher zu verstehen:
http://www.golem.de/news/versc…01457.html

Wenn ich das richtig verstehe, ist RC4 nur mit größeren abgehorchten Daten-Mengen knackbar, selbst wenn die NSA hier etwas verbessert hat, oder? Wenn dies nur auf eine Session zutrifft, dürfte das Problem nicht wirklich akut sein.
Trotzdem sollten gerade die Bank-Rechenzentralen mit gutem Beispiel vorangehen, damit sich bei den Kunden kein "mulmiges" Gefühl einschleicht.

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 20.09.2013 - 12:29 Uhr  ·  #5
Das ist allerdings kein Grund kein TLS 1.2 anzubieten.
Golems Aussage "Diese wird bislang von kaum einem Browser unterstützt" ist nicht richtig.
Siehe http://en.wikipedia.org/wiki/T…b_browsers

Beast betrifft nur SSL und TLS 1.0.

Wenn man TLS 1.2 aktiviert und die "TLS 1.2 only" Ciphers als Prio setzt werden diese von aktuellen Browsern genutzt und man hat weder eine Beast noch RC4 Problematik.

Den alten Browsern (TLS 1.0) kann man dann ja "je nach Geschmack" RC4 oder die CBCs mit Beast Problematik anbieten. (Wobei selbst IE6/XP schon Client seitig Beast sicher ist [sofern gepatched])
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 20.09.2013 - 12:38 Uhr  ·  #6
Mal kurz zusammengefasst und in DE

Diese Browser unterstützen TLS 1.1 und 1.2 automatisch:
IE 11 (Windows 8.1 und Win7)
Chrome ab v30
Opera ab v17
Safari 7 (MAC OS X 10.9)

Safari 5 (nur auf iOS und dort ab v5)
Zuküntig geplant: TLS 1.1 ab Firefox v26
Zuküntig geplant: TLS 1.2 ab Firefox v28
Zuküntig geplant: TLS 1.1+1.2 bei ESR ab Firefox ESR v31


Manuell:
Firefox ab v24/24ESR

in der Browser Zeile about:config eingeben und nach security.tls.version.max
suchen. Den Wert auf 3 Stellen (3=TLS 1.2 / 1= TLS 1.0)


IE 8-10 (Windows 7 / 8 )
Internet Optionen > Erweitert > Ganz unten unter Sicherheit > TLS 1.2 und 1.1 benutzen.

Kein TLS 1.1/1.2
IE (egal welche Version) unter Vista oder XP unsterstützt max TLS 1.0
Safari auf Windows und MAC OS X <=10.8 unterstützt z.Z. auch nur TLS 1.0
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 13.11.2013 - 06:44 Uhr  ·  #7
Liste aktualisiert
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 951
Dabei seit: 12 / 2004
Betreff:

Re: Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 05.02.2014 - 08:53 Uhr  ·  #8
Da man leider durch die neue Forensoftware nicht mehr editieren kann :(

Mal kurz zusammengefasst und in DE (Stand: 02/2014)

Diese Browser unterstützen TLS 1.1 und 1.2 automatisch:
IE 11 (Windows 8.1 und Win7)
Chrome ab v30
Opera ab v17
Firefox 27 (bei ESR dann ab v31)
Safari 7 (MAC OS X 10.9 / iOS 7)

Safari 5 (nur auf iOS und dort ab v5)


Manuell:
Firefox ab v24/24ESR
in der Browser Zeile about:config eingeben und nach security.tls.version.max
suchen. Den Wert auf 3 Stellen (3=TLS 1.2 / 1= TLS 1.0)

IE 8-10 (Windows 7 / 8 )
Internet Optionen > Erweitert > Ganz unten unter Sicherheit > TLS 1.2 und 1.1 benutzen.

Kein TLS 1.1/1.2
IE (egal welche Version) unter Vista oder XP unsterstützt max TLS 1.0
Safari auf Windows und MAC OS X <10.9 unterstützt z.Z. auch nur TLS 1.0
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: 10 / 2014
Betreff:

Re: Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 22.10.2014 - 16:20 Uhr  ·  #9
Gerne würde ich auch hier das Wiki der icertificate GmbH empfehlen. Neben bebilderten Installationsanleitungen, finden sich Informationen rund um das Thema SSL, sowie auch aktuelle Informationen wie z.B. ein bebildertes Workaround zum neuesten POODLE-Vorfall.
Code
icertificate.eu/wiki/Hauptseite


MFG
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: Verschlüsselungstest für SSL Seiten

 · 
Gepostet: 12.04.2018 - 18:45 Uhr  ·  #10
Zitat
TLS 1.3: Privatsphäre geschützt, Sicherheitsbehörden fluchen
Besser verschlüsselte Übertragungen im Internet dank TLS 1.3 erfreuen den Verbraucher und die Banken, Google und Mozilla erlauben bereits ein manuelles Einschalten des Standards. Sicherheitsbehörden und Geheimdienste sind nicht begeistert.

https://www.teltarif.de/tls-1-…72264.html

Die Banken sollte erstmal TLS 1.3 freischalten, damit dann auch moderne Browser dies nutzen können.
(in dem Aufwasch vielleicht auch mal IPv6 aktivieren)
Gewählte Zitate für Mehrfachzitierung:   0