{"id":3966,"date":"2011-12-08T15:57:18","date_gmt":"2011-12-08T14:57:18","guid":{"rendered":"http:\/\/security-planet.de\/?p=3966"},"modified":"2011-12-08T15:57:18","modified_gmt":"2011-12-08T14:57:18","slug":"testen-von-ssl-servern","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2011\/12\/08\/testen-von-ssl-servern\/","title":{"rendered":"Testen von SSL-Servern"},"content":{"rendered":"<p>Im Blog des <a href=\"http:\/\/www.darknet.org.uk\/\">Darknet<\/a> habe ich von dem Tool <a href=\"http:\/\/code.google.com\/p\/sslyze\/\">SSLyze<\/a> gelesen. Mit diesem ist es m\u00f6glich, SSL\/TLS-Server zu testen und Konfigurationsproblemen auf die Spur zu kommen.<br \/>\nDas Tool ist in Python geschrieben und damit recht plattformunabh\u00e4ngig. MacOS ist zwar nicht offiziell supported, es funktioniert bei mir aber ohne Probleme unter Lion 10.7.<\/p>\n<p>Der Aufruf ist recht simpel:<\/p>\n<pre class><code>Karstens-MacBook-Air:sslyze karsten$ python .\/sslyze.py --regular www.example.com\n<\/code><\/pre>\n<p>Die Ausgaben beziehen sich dann auf die verschiedenen Checks, die das Script ausf\u00fchren kann. Diese sind auf der <a href=\"http:\/\/code.google.com\/p\/sslyze\/wiki\/QuickStart\">Wiki-Seite des Projekts<\/a> beschrieben.<\/p>\n<p>Bei meinem ersten Scan ist mir dann auch gleich ein Fehler auf einem meiner eigenen Server aufgefallen:<\/p>\n<pre class><code>  * SSLV3 Cipher Suites :\n      Cipher Suite:                             SSL Handshake:           HTTP GET: \n      AES256-SHA  256bits                          Preferred               200 OK  \n      RC4-SHA  128bits                             Accepted                200 OK  \n      RC4-MD5  128bits                             Accepted                200 OK  \n      DES-CBC3-SHA  168bits                        Accepted                200 OK  \n      DES-CBC-SHA  56bits                          Accepted                200 OK  \n      AES128-SHA  128bits                          Accepted                200 OK  \n<\/code><\/pre>\n<p>Ich habe vergessen, unsichere Verschl\u00fcsselungen in der Webserver-Konfig auszuschalten. Bei einem Lighttpd unter Debian ist das folgende Einstellung unter <code>\/etc\/lighttpd\/conf-enabled\/10-ssl.conf<\/code>:<\/p>\n<pre class><code>        ssl.cipher-list = \"AES256-SHA RC4-SHA AES128-SHA\"\n<\/code><\/pre>\n<p>Beim n\u00e4chsten Aufruf sieht das dann schon besser aus:<\/p>\n<pre class><code>  * SSLV3 Cipher Suites :\n      Cipher Suite:                             SSL Handshake:           HTTP GET: \n      AES256-SHA  256bits                          Preferred               200 OK  \n      RC4-SHA  128bits                             Accepted                200 OK  \n      AES128-SHA  128bits                          Accepted                200 OK  \n<\/code><\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Im Blog des Darknet habe ich von dem Tool SSLyze gelesen. Mit diesem ist es m\u00f6glich, SSL\/TLS-Server zu testen und Konfigurationsproblemen auf die Spur zu kommen. Das Tool ist in Python geschrieben und damit recht plattformunabh\u00e4ngig. MacOS ist zwar nicht offiziell supported, es funktioniert bei mir aber ohne Probleme unter Lion 10.7. Der Aufruf ist <\/p>\n<div class=\"read-more-text\"><a href=\"https:\/\/cyber-fi.net\/index.php\/2011\/12\/08\/testen-von-ssl-servern\/\" class=\"read-more\">continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[15],"tags":[576,577],"class_list":["post-3966","post","type-post","status-publish","format-standard","hentry","category-security","tag-ssl-tls","tag-sslyze"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/3966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=3966"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/3966\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=3966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=3966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=3966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}