Testen von SSL-Servern

Im Blog des Darknet habe ich von dem Tool SSLyze gelesen. Mit diesem ist es möglich, SSL/TLS-Server zu testen und Konfigurationsproblemen auf die Spur zu kommen.
Das Tool ist in Python geschrieben und damit recht plattformunabhängig. MacOS ist zwar nicht offiziell supported, es funktioniert bei mir aber ohne Probleme unter Lion 10.7.

Der Aufruf ist recht simpel:

Karstens-MacBook-Air:sslyze karsten$ python ./sslyze.py --regular www.example.com

Die Ausgaben beziehen sich dann auf die verschiedenen Checks, die das Script ausführen kann. Diese sind auf der Wiki-Seite des Projekts beschrieben.

Bei meinem ersten Scan ist mir dann auch gleich ein Fehler auf einem meiner eigenen Server aufgefallen:

  * SSLV3 Cipher Suites :
      Cipher Suite:                             SSL Handshake:           HTTP GET: 
      AES256-SHA  256bits                          Preferred               200 OK  
      RC4-SHA  128bits                             Accepted                200 OK  
      RC4-MD5  128bits                             Accepted                200 OK  
      DES-CBC3-SHA  168bits                        Accepted                200 OK  
      DES-CBC-SHA  56bits                          Accepted                200 OK  
      AES128-SHA  128bits                          Accepted                200 OK  

Ich habe vergessen, unsichere Verschlüsselungen in der Webserver-Konfig auszuschalten. Bei einem Lighttpd unter Debian ist das folgende Einstellung unter /etc/lighttpd/conf-enabled/10-ssl.conf:

        ssl.cipher-list = "AES256-SHA RC4-SHA AES128-SHA"

Beim nächsten Aufruf sieht das dann schon besser aus:

  * SSLV3 Cipher Suites :
      Cipher Suite:                             SSL Handshake:           HTTP GET: 
      AES256-SHA  256bits                          Preferred               200 OK  
      RC4-SHA  128bits                             Accepted                200 OK  
      AES128-SHA  128bits                          Accepted                200 OK  
Advertisements
Testen von SSL-Servern

2 thoughts on “Testen von SSL-Servern

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s