• IT-Karriere:
  • Services:

TLS-Check: Qualys bestraft fehlendes Forward Secrecy

Perfect Forward Secrecy, AEAD und keine Anfälligkeit für Robot sind künftig wichtige Kriterien im SSL-Test von Qualys. Wer diese Kriterien nicht unterstützt, wird ab März schlechter bewertet. Auch Nutzer von Symantec-Zertifikaten werden gewarnt.

Artikel veröffentlicht am ,
SSL Labs vergibt Noten für die TLS-Konfiguration.
SSL Labs vergibt Noten für die TLS-Konfiguration. (Bild: SSLLabs / Screenshot Golem.de)

Der bekannte TLS-Qualitätscheck von Qualys ändert seine Bewertungskriterien zum 1. März. Wessen Webserver-Konfiguration etwa kein Forward Secrecy unterstützt, wird künftig schlechter bewertet. Auch Nutzer von bald ungültig werdenden Symantec-Zertifikaten werden gewarnt.

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  2. LISTAN GmbH, Glinde

Wer ab dem 1. März kein Forward Secrecy anbietet, bekommt höchstens die Note B verliehen. Forward Secrecy, auch Perfect Forward Secrecy (PFS) genannt, bezeichnet eine Eigenschaft kryptografischer Verfahren. Diese sind auch dann noch sicher, wenn ein länger verwendeter Schlüssel einem Angreifer bekannt wird. Der RSA-Schlüsselaustausch unterstützt diese Eigenschaft nicht, Qualys rät demnach zur Verwendung des Diffie-Hellman-Schlüsselaustausches mit elliptischen Kurven (ECDHE).

Außerdem sollten sichere Cipher Suites verwendet werden. Nach Angaben von Qualys stellt AEAD (Authenticated Encryption with Associated Data) den einzig sicheren Betriebsmodus in TLS ohne bekannte Schwächen dar. Insbesondere die Alternative CBC (Cipher Block Chaining) sei in der Implementierung für TLS für Timing-Angriffe verwundbar. In TLS 1.3 sind nur noch AEAD-Suites zugelassen. Die Einführung von TLS 1.3 scheitert derzeit allerdings noch an verschiedenen Herstellern. Wer AEAD auf dem Server nicht unterstützt, wird demnach ebenfalls höchstens ein B als Bewertung erhalten.

Anfälligkeit für Robot wird mit F bewertet

Ein F wird künftig bekommen, wessen Konfiguration für den Robot-Angriff anfällig ist. Der Return of Bleichenbacher Oracle Threat lässt über Fehlermeldungen eines Webservers die Entschlüsselung von Daten zu. Der Angriff wurde von Daniel Bleichenbacher erstmals im Jahr 1998 entdeckt, ist aber in Variationen noch heute gegen einige Ziele durchführbar.

Ebenfalls warnen wird Qualys vor TLS-Zertifikaten, die vor Juni 2016 von Symantec ausgestellt wurden. Nach zahlreichen Fehlern im Zertifikatsmanagement und dem Verkauf der Zertifizierungsstelle hat Google angekündigt, dass in Chrome künftig keine alten Zertifikate von Symantec mehr akzeptiert werden. Wer ein solches Zertifikat verwendet, bekommt eine Warnung und ein T als Wertung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Spider-Man: Far From Home (4K) für 20,46€, The Punisher/Spider-Man: Homecoming - Best of...
  2. (u. a. Captiva R53-852 Gaming PC Ryzen 9 32GB, 1TB SSD + 2TB HDD RTX 2080 Super 8GB für 2.526...
  3. (u. a. Alles fürs Lernen zuhause)
  4. (u. a. Sandisk SSD Plus 1TB für 85,51€ (inkl. 11€ Direktabzug), Crucial P1 1TB PCIe für 96...

Nocta 09. Feb 2018

Trotzdem sollten alle Seiten das Maximum anstreben. Im wesentlichen ist es ja kein allzu...


Folgen Sie uns
       


Huawei Mate Xs im Test

Das Mate Xs von Huawei ist ein Smartphone mit faltbarem Display - und für uns das erste, das vom Design her alltagstauglich ist. Das dürfte allerdings zu Lasten der Widerstandsfähigkeit gehen.

Huawei Mate Xs im Test Video aufrufen
Mars 2020: Was ist neu am Marsrover Perseverance?
Mars 2020
Was ist neu am Marsrover Perseverance?

Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
Von Frank Wunderlich-Pfeiffer


    Sono Motors: Wie der E-Autohersteller durch die Krise kommen will
    Sono Motors
    Wie der E-Autohersteller durch die Krise kommen will

    Die Crowdfunding-Kampagne kam zur richtigen Zeit. Mit dem Geld hat das Elektroauto-Startup Sono Motors die Coronakrise bisher gut überstanden.
    Ein Bericht von Werner Pluta

    1. Soundcloud-Gründer Das eigene E-Bike für 59 Euro im Monat
    2. Kuberg Elektrisches Dirt Bike mit Anhänger vorgestellt
    3. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis

    Sysadmin Day 2020: Du kannst doch Computer ...
    Sysadmin Day 2020
    Du kannst doch Computer ...

    Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
    Ein Porträt von Boris Mayer


        •  /