SSL/TLS-Prüfung Clients/Server

erschienen in #Archiv vom 15.02.2016

Die A-SIT SSL/TLS Toolsuite prüft die Sicherheitseinstellungen von Web-Browsern und Web-Servern.

Die A-SIT SSL/TLS Toolsuite besteht aus zwei Teilen. Mit dem „Browser-Test“ ist es möglich, die SSL-Fähigkeiten von Web-Browsern überprüfen und evaluieren. Durch den „Server-Test“ können die Fähigkeiten von HTTPS-fähigen Webservern erhoben werden. Neben den spezifischen Merkmalen wird eine Klassifikation ausgegeben, aus der abzulesen ist, ob und in welcher Form sich die getestete Komponente für in sicherheitskritischen Einsatzbereichen eignet.

Statusinformation

Das SSL-Prüftool zum Testen von Browser und Server steht als Download (am Ende dieser Seite) und Online-Version unter http://demoapps.a-sit.at/ssl-tool/ zur Verfügung.

Dokumente

A-SIT hat in Verbindung mit dem SSL-Tool ein Strategiepapier zur SSL/TLS-Kommunikationssicherheit (für online e-Government-Verfahren) erstellt. In diesem Papier werden auch Empfehlungen für die zu verwendenden Transfer-Formate für den Austausch von Zertifikaten gegeben.

Bedienungsanleitung

  1. Allgemeines
    Mit Hilfe dieser Software ist es möglich, Internetserver und sowie den eigenen Browser auf ihre SSL-Fähigkeiten hin zu prüfen und sie in verschiedene Sicherheitsstufen zu kategorisieren.
  2. Anforderungen
    Die Software benötigt zum korrekten Funktionieren folgende Programme:

    • Java Runtime Environment (oder SDK) Version >= 1.7
    • Apache Tomcat >= 7 (optional)

    Der Tomcat Container ist nur erforderlich, wenn die Tools als Servlets gestartet werden sollen. Sie sind aber auch standalone lauffähig. Für den Aufruf der Testprogramme wird ein SSL-fähiger Internet-Browser (in aktueller Version) benötigt.

  3. Ausführen
    1. Ausführen als Standalone:
      Gestartet wird das Programm

      • unter UNIX:
        • Client SSL tool: ./startup-client.sh
        • Server SSL tool: ./startup-server.sh
      • unter Windows:
        • Client SSL tool: ./startup-client.bat
        • Server SSL tool: ./startup-server.bat

      Die Startdatei muss eventuell vor dem ersten Start editiert werden, um die Variable JAVA_HOME richtig zu setzen. Ist diese Variable bereits systemweit als Umgebungsvariable gesetzt, so kann dieser Schritt entfallen.

    2. Ausführen als Servlet:
      Das Servlet ist vor dem ersten Start in das webapps Verzeichnis von Tomcat zu kopieren. Servlets werden beim Start von Tomcat automatisch initialisiert.
  4. Verwenden der Tools
    1. Client SSL-Tool:
      Die Fähigkeiten eines Internet-Browsers lassen sich leicht überprüfen, indem folgende URL aufgerufen wird:Clientüberprüfung:

      • https://localhost:4443 (bei standalone Installation) bzw.
      • http://localhost:8080/ssl-tool/sslclientinfo (bei Tomcat Installation)

      Falls die SSL-Tools nicht am selben Rechner laufen, so ist localhost durch den jeweiligen Hostname / IP-Adresse zu ersetzen. Nach kurzer Zeit wird angegeben, welche SSL Protokolle, Ciphersuites, Ciphers und Schlüsselaustausch-Algorithmen unterstützt werden. Zusätzlich werden eventuell vorhandene Client-Zertifikate angezeigt.

    2. Server SSL Tool:
      Die Fähigkeiten eines Internetservers lassen sich leicht überprüfen, indem im Internet-Browser folgende URL aufgerufen wird:Serverüberprüfung:

      • https://localhost:4443/ (bei standalone Installation) bzw.
      • http://localhost:8080/ssl-tool/ (bei Tomcat Installation)

      Falls die SSL-Tools nicht am lokalen PC laufen, so ist localhost durch den jeweiligen Hostname / IP-Adresse zu ersetzen. Bei Aufruf der Adresse erhält man einen Eingabe-Dialog, in dem der Hostname des zu prüfenden Servers einzugeben ist. Bekannte Server können direkt über einen Link getestet werden. Nach der Eingabe des Namens wird nach kurzer Prüfdauer angegeben, welche TLS-Protokolle, Ciphersuites, Ciphers und Schlüsselaustausch-Algorithmen serverseitig unterstützt werden. Zusätzlich werden die vorhandene Server-Zertifikate und die Zertifikatskette angezeigt.

Links

  • A-SIT SSL/TLS Tests
  • Beitrag zu SSL/TLS Sicherheitsempfehlungen für Behörden

Downloads

Datei Beschreibung Dateigröße
pdf Dokumentation Version 1.1 vom 15.2.2016
1 MB
zip Anwendung Version 1.2.5 vom 15.2.2016 (.zip, Java)
6 MB
pdf Teil 2: Empfehlungen zur Verwendung von SSL/TLS Version 1.1 vom 25.2.2016
1 MB