Im Blog des Darknet habe ich von dem Tool SSLyze gelesen. Mit diesem ist es möglich, SSL/TLS-Server zu testen und Konfigurationsproblemen auf die Spur zu kommen.
Das Tool ist in Python geschrieben und damit recht plattformunabhängig. MacOS ist zwar nicht offiziell supported, es funktioniert bei mir aber ohne Probleme unter Lion 10.7.
Der Aufruf ist recht simpel:
Karstens-MacBook-Air:sslyze karsten$ python ./sslyze.py --regular www.example.com
Die Ausgaben beziehen sich dann auf die verschiedenen Checks, die das Script ausführen kann. Diese sind auf der Wiki-Seite des Projekts beschrieben.
Bei meinem ersten Scan ist mir dann auch gleich ein Fehler auf einem meiner eigenen Server aufgefallen:
* SSLV3 Cipher Suites :
Cipher Suite: SSL Handshake: HTTP GET:
AES256-SHA 256bits Preferred 200 OK
RC4-SHA 128bits Accepted 200 OK
RC4-MD5 128bits Accepted 200 OK
DES-CBC3-SHA 168bits Accepted 200 OK
DES-CBC-SHA 56bits Accepted 200 OK
AES128-SHA 128bits Accepted 200 OK
Ich habe vergessen, unsichere Verschlüsselungen in der Webserver-Konfig auszuschalten. Bei einem Lighttpd unter Debian ist das folgende Einstellung unter /etc/lighttpd/conf-enabled/10-ssl.conf:
ssl.cipher-list = "AES256-SHA RC4-SHA AES128-SHA"
Beim nächsten Aufruf sieht das dann schon besser aus:
* SSLV3 Cipher Suites :
Cipher Suite: SSL Handshake: HTTP GET:
AES256-SHA 256bits Preferred 200 OK
RC4-SHA 128bits Accepted 200 OK
AES128-SHA 128bits Accepted 200 OK
Hallo Karsten,
passend zum Thema solltest du auch den c´t Artikel “SSL und das Beast” lesen. (http://www.heise.de/artikel-archiv/ct/2011/23/170_kiosk) Ich denke dann wirst du noch weitere Verschlüsselungen abschalten.
Grüße aus Kölle
Ronald
Moin Ronald,
schon geschehen wie unter http://redmine.lighttpd.net/wiki/lighttpd/Release-1.4.30 empfohlen …
Gruß, Karsten