Testen von SSL-Servern

Im Blog des Darknet habe ich von dem Tool SSLyze gelesen. Mit diesem ist es möglich, SSL/TLS-Server zu testen und Konfigurationsproblemen auf die Spur zu kommen.
Das Tool ist in Python geschrieben und damit recht plattformunabhängig. MacOS ist zwar nicht offiziell supported, es funktioniert bei mir aber ohne Probleme unter Lion 10.7.

Der Aufruf ist recht simpel:

Karstens-MacBook-Air:sslyze karsten$ python ./sslyze.py --regular www.example.com

Die Ausgaben beziehen sich dann auf die verschiedenen Checks, die das Script ausführen kann. Diese sind auf der Wiki-Seite des Projekts beschrieben.

Bei meinem ersten Scan ist mir dann auch gleich ein Fehler auf einem meiner eigenen Server aufgefallen:

  * SSLV3 Cipher Suites :
      Cipher Suite:                             SSL Handshake:           HTTP GET:
      AES256-SHA  256bits                          Preferred               200 OK
      RC4-SHA  128bits                             Accepted                200 OK
      RC4-MD5  128bits                             Accepted                200 OK
      DES-CBC3-SHA  168bits                        Accepted                200 OK
      DES-CBC-SHA  56bits                          Accepted                200 OK
      AES128-SHA  128bits                          Accepted                200 OK

Ich habe vergessen, unsichere Verschlüsselungen in der Webserver-Konfig auszuschalten. Bei einem Lighttpd unter Debian ist das folgende Einstellung unter /etc/lighttpd/conf-enabled/10-ssl.conf:

        ssl.cipher-list = "AES256-SHA RC4-SHA AES128-SHA"

Beim nächsten Aufruf sieht das dann schon besser aus:

  * SSLV3 Cipher Suites :
      Cipher Suite:                             SSL Handshake:           HTTP GET:
      AES256-SHA  256bits                          Preferred               200 OK
      RC4-SHA  128bits                             Accepted                200 OK
      AES128-SHA  128bits                          Accepted                200 OK

Related Posts

No related posts.