TLS-Check: Qualys bestraft fehlendes Forward Secrecy

Perfect Forward Secrecy, AEAD und keine Anfälligkeit für Robot sind künftig wichtige Kriterien im SSL-Test von Qualys. Wer diese Kriterien nicht unterstützt, wird ab März schlechter bewertet. Auch Nutzer von Symantec-Zertifikaten werden gewarnt.

Artikel veröffentlicht am ,
SSL Labs vergibt Noten für die TLS-Konfiguration.
SSL Labs vergibt Noten für die TLS-Konfiguration. (Bild: SSLLabs / Screenshot Golem.de)

Der bekannte TLS-Qualitätscheck von Qualys ändert seine Bewertungskriterien zum 1. März. Wessen Webserver-Konfiguration etwa kein Forward Secrecy unterstützt, wird künftig schlechter bewertet. Auch Nutzer von bald ungültig werdenden Symantec-Zertifikaten werden gewarnt.

Wer ab dem 1. März kein Forward Secrecy anbietet, bekommt höchstens die Note B verliehen. Forward Secrecy, auch Perfect Forward Secrecy (PFS) genannt, bezeichnet eine Eigenschaft kryptografischer Verfahren. Diese sind auch dann noch sicher, wenn ein länger verwendeter Schlüssel einem Angreifer bekannt wird. Der RSA-Schlüsselaustausch unterstützt diese Eigenschaft nicht, Qualys rät demnach zur Verwendung des Diffie-Hellman-Schlüsselaustausches mit elliptischen Kurven (ECDHE).

Außerdem sollten sichere Cipher Suites verwendet werden. Nach Angaben von Qualys stellt AEAD (Authenticated Encryption with Associated Data) den einzig sicheren Betriebsmodus in TLS ohne bekannte Schwächen dar. Insbesondere die Alternative CBC (Cipher Block Chaining) sei in der Implementierung für TLS für Timing-Angriffe verwundbar. In TLS 1.3 sind nur noch AEAD-Suites zugelassen. Die Einführung von TLS 1.3 scheitert derzeit allerdings noch an verschiedenen Herstellern. Wer AEAD auf dem Server nicht unterstützt, wird demnach ebenfalls höchstens ein B als Bewertung erhalten.

Anfälligkeit für Robot wird mit F bewertet

Ein F wird künftig bekommen, wessen Konfiguration für den Robot-Angriff anfällig ist. Der Return of Bleichenbacher Oracle Threat lässt über Fehlermeldungen eines Webservers die Entschlüsselung von Daten zu. Der Angriff wurde von Daniel Bleichenbacher erstmals im Jahr 1998 entdeckt, ist aber in Variationen noch heute gegen einige Ziele durchführbar.

Ebenfalls warnen wird Qualys vor TLS-Zertifikaten, die vor Juni 2016 von Symantec ausgestellt wurden. Nach zahlreichen Fehlern im Zertifikatsmanagement und dem Verkauf der Zertifizierungsstelle hat Google angekündigt, dass in Chrome künftig keine alten Zertifikate von Symantec mehr akzeptiert werden. Wer ein solches Zertifikat verwendet, bekommt eine Warnung und ein T als Wertung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch

OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.
Von Fabian Deitelhoff

Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
Artikel
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Donald E. Knuth: 30 Jahre Weihnachtsvorlesungen frei verfügbar
    Donald E. Knuth
    30 Jahre Weihnachtsvorlesungen frei verfügbar

    Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /