Strengere Bewertungskriterien bei SSLlabs

22.03.2017 | Petra Alm

Das populäre Tool für die Analyse von SSL-Zertifikaten und Einstellung von HTTPS auf  Servern wird kontinuierlich verbessert. Die Entwickler ergänzen die Tests zum Beispiel um neu entdeckte Bedrohungen. Nun kommt es zu einer Verschärfung der Bewertungskriterien. Für welche Verstöße können Sie neu eine schlechte Note bekommen?

Qualys SSLlabs

Was ist neu?

Die Autoren haben sich entschieden, die Bewertung in den folgenden Punkten strenger zu machen:

  •  3DES: Wegen der Schwachstelle Sweet32 wird die Unterstützung von 3DES mit der Note C eingestuft. Codier-Suiten, die 3DES verwenden, sollten verboten werden. Die Note bezieht sich auch auf weitere 64-Blockchiffren.
  • Forward Secrecy: Seit dem Edward Snowden-Fall, der die Praxis der staatlichen Überwachung enthüllt hat, empfehlen die Sicherheitsexperten Forward Secrecy zu aktivieren. Dieser Mechanimus verhindert das Mitlesen von eingetragenen Daten. Servern, die Forward Secrecy nicht unterstützen, wird automatisch die niedrigere Note B zugeteilt.
  • AEAD (Authenticated Encryption with Associated Data) Suiten: Die authentifizierte Kommunikation wird nachdrücklich empfohlen und die AEAD-Verschlüsselungen werden als die einzigen Suiten in dem Protokoll TLS 1.3. unterstützt. Ohne AEAD können Sie sich von der höchsten Note A+ verabschieden.
  • TLS Fallback: Seit der Entdeckung der Vulnerabilität POODLE bemühen sich die Browser, den "protocol downgrade-Angriff", also eine absichtliche Herabsetzung des Verschlüsselungsniveaus, zu verhindern. Deshalb wird TLS_FALLBACK_SCSV für A+ nicht mehr erfordert, diese Sorge haben die Browser übernommen.
  • Schwache Verschlüsselungen: Alle Verschlüsselungen, die weniger als 112 Bits haben, bedeuten die niedrigste Note – F.
  • RC4: Servern, die die Verschlüsselung RC4 unterstützen, wird die Bewertung auf C erniedrigt.
  • SHA-1: Websites mit SHA-1 Zertifikaten werden nicht mehr als vertrauenswürdig eingestuft und können mit der Note F rechnen.

Die Änderungen sind nicht dramatisch, es sind jedoch mehrere Situationen aufgetaucht, in welchen Ihr Server mit der niedrigsten Note F bewertet werden kann. Die Kritik wird meistens an schwachen Verschlüsselungen liegen, die von den Administratoren oft unbeachtet bleiben. Der Umstieg von SHA-1 auf SHA-2 ist schon längst vollendet, deshalb sollte die Pönalisierung von SHA-1 Zertifikaten in SSLlabs kein Problem darstellen.

Quelle:

  1. SSLlabs: SSL Labs Grading Changes January 2017
  2. CAsecurity Council: Stricter Standards for SSL Server Test Coming in 2017

Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de