SSL Labs

Copyright © Shutterstock/Adil Graphics

Was ist SSL Labs?

SSL Labs ist ein Werkzeug von Qualys, das dem Test der SSL-Verschlüsselung dient. Das SSL-Check-Tool kommt im Zusammenhang mit Webbrowsern und Webservern zum Einsatz. Im Online-Marketing und in der Suchmaschinenoptimierung spielen SSL-Zertifikate eine wesentliche Rolle, da Suchmaschinenbetreiber wie Google das Vorhandensein solcher Zertifikate in das Ranking einfließen lassen. Im Rahmen des SSL Checks sieht SSL Labs verschiedene Kategorien vor, wobei A die höchste Note darstellt. Kenntnis der Kriterien hilft bei der Optimierung der eigenen Einstufung.

Sicherheitstest mit SSL Labs

Qualys SSL Labs hat sich mit seinem Tool darauf spezialisiert, die Sicherheit einer SSL-verschlüsselten Internetseite zu ermitteln. Hierbei werden mehrere Kriterien zur Beurteilung angewandt. Daraus leitet Qualys Ratings ab, die von A bis F reichen, wobei A+ eine ausgezeichnete und F eine unsichere Domain kennzeichnet. Zu den analysierten Parametern gehört beispielsweise der Einsatz von Perfect Forward Secrecy (PFS).

Der Test funktioniert über die Untersuchung der SSL-Zertifikatskette der Internetseiten. Als Sicherheitsprotokoll dient SSL der Verschlüsselung sensibler Daten während der Online-Transaktion. Der SSL-Test deckt im Rahmen dessen Sicherheitslücken auf, beispielsweise aufgrund einer unzureichenden Konfiguration. Es kommt häufig vor, dass SSL-Zertifikate unzureichend konfiguriert sind, worauf der Test von SSL Labs mit einer Abstufung des Scores reagiert.

Neben der weitreichenden Konfigurationsanalyse kann der Test auch Performance-Lücken zutage fördern. Ergänzend zur Einstufung in Buchstabenform kann das SSL-Tool auch Zahlenwerte ausgeben, mit denen SSL-Server und -Browser in Kategorien eingeteilt werden.

Einstufung der Zertifikate und ihre Faktoren

Verschiedene Aspekte sind für die Kategorisierung der Zertifikate relevant. So senken abgelaufene Zertifikate die Einstufung, während aktuelle Zertifikate renommierter Zertifizierungsstellen (Certificate Authority) als glaubwürdig eingestuft werden. Weiterhin ist der Domainname ein wichtiger Faktor. Hier geht es insbesondere darum, ob der Name der Domain bereits Rückschluss auf den Inhalt gibt.

Das Zertifikat sollte weiterhin sämtliche Namen beinhalten, die Seitenbetreiber für ihre Webseite nutzen möchten. Das Zertifikat sollte beispielsweise mit und ohne www.-Zusatz arbeiten können. Weiterhin sollte der Seitenname für mehrere Top-Level-Domains möglich sein, beispielsweise .com und .net.

Im Hinblick auf die Hash-Algorithmen ist die Frage von Bedeutung, ob sichere Signaturen zum Einsatz kommen oder ob die Signatur Lücken aufweist. Zu den sicheren Signaturen gehören etwa MD5 oder SHA1.

Bedeutung der Schlüssel (Private Keys)

Was die Schlüssel betrifft, so führt auch hier eine höhere Sicherheitseinstufung zu einer besseren Bewertung. Allgemein sind längere Session-Keys als sicherer anzusehen als kurze und damit leichter herauszufindende Schlüssel.

Eine A-Wertung erfordert Schlüssel mit mindestens 2048 Bit. Wichtig ist es, private Schlüssel auf einem sicheren Rechner zu generieren und auf ihren Schutz zu achten. Es empfiehlt sich, Zertifikate und private Schlüssel mindestens einmal pro Jahr zu erneuern.

SSL Labs prüft in einem eigenen Schritt die Schlüsselaustauschfunktionen. Eine Abstufung erfahren solche Austauschverfahren, die ohne Authentifikation funktionieren. Solche Verfahren öffnen Man-in-the-Middle-Angriffen Tür und Tor. Die Nutzung von Perfect Forward Secrecy (PFS) hebt den Wert des Austauschverfahrens deutlich an. PFS erschwert MITM-Angriffe, während der Session Key unmittelbar nach einer Sitzung nichtig wird.

SSL Labs nimmt hier ein Scoring in Prozentzahlen vor. Dieses reicht von 0 Prozent für schwache Schlüsselaustauschverfahren über gestaffelte Prozentbewertungen für Schlüsselstärken unter 512 Bit (20 Prozent) bis zu Stärken über 4096 Bit. Eine solch hohe Schlüsselstärke ist eine der Voraussetzungen für ein 100-Prozent-Scoring.

Das SSL-Tool beurteilt im Anschluss Cipher-Suiten. Hierbei reicht das Prozent-Scoring wiederum von 0 Prozent für fehlende Verschlüsselung bis zu 100 Prozent für 256 Bit und mehr.

Sichere Protokolle

Ein zentrales Kriterium für die SSL Labs sind sichere Protokolle. Ältere Protokolle wie SSL v2 oder v3 führen zu Abstufungen. Frühe TLS-Versionen wie TLS 1.0 werden nur geduldet, wenn der Rest der Konfiguration lückenlos sicher ausfällt. Vorteilhafter sind die TLS-Versionen ab 1.1 oder besser 1.2.

Ziel der Cipher-Suites ist es, eine sichere Gestaltung der Kommunikation zu gewährleisten. Die Verwendung von Suiten mit einer Authentifikation sowie mindestens 128 Bit sind anzuraten. Auch hier trägt Perfect Forward Secrecy maßgeblich dazu bei, das Rating durch SSL Labs bestmöglich zu gestalten. Eine komplette Verschlüsselung der Seite ist wichtig, da die Einstufung beeinträchtigt wird, wenn ungeschützte Inhalte oder Elemente auf der Seite vorhanden sind. Dies betrifft insbesondere gemischten Content. Wer etwa Bild- oder Video-Dateien, CSS-Files oder JavaScript einsetzt, sollte auch auf einen SSL-Schutz dieser Elemente achten, um MITM-Attacken zu erschweren und ein optimales Rating zu ermöglichen.

Einstufung der Cookies

Auch auf Seite ungeschützter Cookies sind MITM-Angriffe ein Problem. Ein vollumfänglicher Schutz der Seite und ein entsprechendes Scoring erfordert es daher auch, genutzte Cookies als sicher einstufen zu können. Cookies können auch dann Einfallstore für Angriffe sein, wenn die Webseite selbst komplett verschlüsselt ist. Cookies verfügen über Secure-Flags. Diese geben Rückschluss darauf, über welche Verbindungen und Protokolle Cookies übertragen werden.

Im Idealfall werden sie ausschließlich über sichere HTTPS-Verbindungen übertragen, während HTTP-Verbindungen zu vermeiden sind. Ohne den Einsatz von Secure-Flags können Cyber-Angreifer Cookies ausspähen und sich dabei als Anwender ausgeben. Dies ist dann möglich, wenn ein Nutzer erst den geschützten HTTPS-Bereich der Seite aufruft, während der Cookie ihn trackt. Ruft er später die Seite über reguläres HTTP auf, wird der Cookie weiterhin an die Anwendung gesendet und ist dabei grundsätzlich für Angreifer einsehbar.