SSL Labs

SSL Labs

Copyright ┬ę Shutterstock / Adil Graphics

Was ist SSL Labs?

SSL Labs ist ein Werkzeug von Qualys, das dem Test der SSL-Verschl├╝sselung dient. Das SSL-Check-Tool kommt im Zusammenhang mit Webbrowsern und Webservern zum Einsatz. Im Online-Marketing und in der Suchmaschinenoptimierung spielen SSL-Zertifikate eine wesentliche Rolle, da Suchmaschinenbetreiber wie Google das Vorhandensein solcher Zertifikate in das Ranking einflie├čen lassen. Im Rahmen des SSL Checks sieht SSL Labs verschiedene Kategorien vor, wobei A die h├Âchste Note darstellt. Kenntnis der Kriterien hilft bei der Optimierung der eigenen Einstufung.

Sicherheitstest mit SSL Labs

Qualys SSL Labs hat sich mit seinem Tool darauf spezialisiert, die Sicherheit einer SSL-verschl├╝sselten Internetseite zu ermitteln. Hierbei werden mehrere Kriterien zur Beurteilung angewandt. Daraus leitet Qualys Ratings ab, die von A bis F reichen, wobei A+ eine ausgezeichnete und F eine unsichere Domain kennzeichnet. Zu den analysierten Parametern geh├Ârt beispielsweise der Einsatz von Perfect Forward Secrecy (PFS).

Der Test funktioniert ├╝ber die Untersuchung der SSL-Zertifikatskette der Internetseiten. Als Sicherheitsprotokoll dient SSL der Verschl├╝sselung sensibler Daten w├Ąhrend der Online-Transaktion. Der SSL-Test deckt im Rahmen dessen Sicherheitsl├╝cken auf, beispielsweise aufgrund einer unzureichenden Konfiguration. Es kommt h├Ąufig vor, dass SSL-Zertifikate unzureichend konfiguriert sind, worauf der Test von SSL Labs mit einer Abstufung des Scores reagiert.

Neben der weitreichenden Konfigurationsanalyse kann der Test auch Performance-L├╝cken zutage f├Ârdern. Erg├Ąnzend zur Einstufung in Buchstabenform kann das SSL-Tool auch Zahlenwerte ausgeben, mit denen SSL-Server und -Browser in Kategorien eingeteilt werden.

Einstufung der Zertifikate und ihre Faktoren

Verschiedene Aspekte sind f├╝r die Kategorisierung der Zertifikate relevant. So senken abgelaufene Zertifikate die Einstufung, w├Ąhrend aktuelle Zertifikate renommierter Zertifizierungsstellen (Certificate Authority) als glaubw├╝rdig eingestuft werden.

Weiterhin ist der Domainname ein wichtiger Faktor. Hier geht es insbesondere darum, ob der Name der Domain bereits R├╝ckschluss auf den Inhalt gibt. Das Zertifikat sollte weiterhin s├Ąmtliche Namen beinhalten, die Seitenbetreiber f├╝r ihre Webseite nutzen m├Âchten. Das Zertifikat sollte beispielsweise mit und ohne www.-Zusatz arbeiten k├Ânnen. Weiterhin sollte der Seitenname f├╝r mehrere Top-Level-Domains m├Âglich sein, beispielsweise .com und .net.

Im Hinblick auf die Hash-Algorithmen ist die Frage von Bedeutung, ob sichere Signaturen zum Einsatz kommen oder ob die Signatur L├╝cken aufweist. Zu den sicheren Signaturen geh├Âren etwa MD5 oder SHA1.

Bedeutung der Schl├╝ssel (Private Keys)

Was die Schl├╝ssel betrifft, so f├╝hrt auch hier eine h├Âhere Sicherheitseinstufung zu einer besseren Bewertung. Allgemein sind l├Ąngere Session-Keys als sicherer anzusehen als kurze und damit leichter herauszufindende Schl├╝ssel.

Eine A-Wertung erfordert Schl├╝ssel mit mindestens 2048 Bit. Wichtig ist es, private Schl├╝ssel auf einem sicheren Rechner zu generieren und auf ihren Schutz zu achten. Es empfiehlt sich, Zertifikate und private Schl├╝ssel mindestens einmal pro Jahr zu erneuern.

SSL Labs pr├╝ft in einem eigenen Schritt die Schl├╝sselaustauschfunktionen. Eine Abstufung erfahren solche Austauschverfahren, die ohne Authentifikation funktionieren. Solche Verfahren ├Âffnen Man-in-the-Middle-Angriffen T├╝r und Tor. Die Nutzung von Perfect Forward Secrecy (PFS) hebt den Wert des Austauschverfahrens deutlich an. PFS erschwert MITM-Angriffe, w├Ąhrend der Session Key unmittelbar nach einer Sitzung nichtig wird.

SSL Labs nimmt hier ein Scoring in Prozentzahlen vor. Dieses reicht von 0 Prozent f├╝r schwache Schl├╝sselaustauschverfahren ├╝ber gestaffelte Prozentbewertungen f├╝r Schl├╝sselst├Ąrken unter 512 Bit (20 Prozent) bis zu St├Ąrken ├╝ber 4096 Bit. Eine solch hohe Schl├╝sselst├Ąrke ist eine der Voraussetzungen f├╝r ein 100-Prozent-Scoring.

Das SSL-Tool beurteilt im Anschluss Cipher-Suiten. Hierbei reicht das Prozent-Scoring wiederum von 0 Prozent f├╝r fehlende Verschl├╝sselung bis zu 100 Prozent f├╝r 256 Bit und mehr.

Sichere Protokolle

Ein zentrales Kriterium f├╝r die SSL Labs sind sichere Protokolle. ├ältere Protokolle wie SSL v2 oder v3 f├╝hren zu Abstufungen. Fr├╝he TLS-Versionen wie TLS 1.0 werden nur geduldet, wenn der Rest der Konfiguration l├╝ckenlos sicher ausf├Ąllt. Vorteilhafter sind die TLS-Versionen ab 1.1 oder besser 1.2.

Ziel der Cipher-Suites ist es, eine sichere Gestaltung der Kommunikation zu gew├Ąhrleisten. Die Verwendung von Suiten mit einer Authentifikation sowie mindestens 128 Bit sind anzuraten. Auch hier tr├Ągt Perfect Forward Secrecy ma├čgeblich dazu bei, das Rating durch SSL Labs bestm├Âglich zu gestalten. Eine komplette Verschl├╝sselung der Seite ist wichtig, da die Einstufung beeintr├Ąchtigt wird, wenn ungesch├╝tzte Inhalte oder Elemente auf der Seite vorhanden sind. Dies betrifft insbesondere gemischten Content. Wer etwa Bild- oder Video-Dateien, CSS-Files oder JavaScript einsetzt, sollte auch auf einen SSL-Schutz dieser Elemente achten, um MITM-Attacken zu erschweren und ein optimales Rating zu erm├Âglichen.

Einstufung der Cookies

Auch auf Seite ungesch├╝tzter Cookies sind MITM-Angriffe ein Problem. Ein vollumf├Ąnglicher Schutz der Seite und ein entsprechendes Scoring erfordert es daher auch, genutzte Cookies als sicher einstufen zu k├Ânnen. Cookies k├Ânnen auch dann Einfallstore f├╝r Angriffe sein, wenn die Webseite selbst komplett verschl├╝sselt ist. Cookies verf├╝gen ├╝ber Secure-Flags. Diese geben R├╝ckschluss darauf, ├╝ber welche Verbindungen und Protokolle Cookies ├╝bertragen werden. Im Idealfall werden sie ausschlie├člich ├╝ber sichere HTTPS-Verbindungen ├╝bertragen, w├Ąhrend HTTP-Verbindungen zu vermeiden sind. Ohne den Einsatz von Secure-Flags k├Ânnen Cyber-Angreifer Cookies aussp├Ąhen und sich dabei als Anwender ausgeben. Dies ist dann m├Âglich, wenn ein Nutzer erst den gesch├╝tzten HTTPS-Bereich der Seite aufruft, w├Ąhrend der Cookie ihn trackt. Ruft er sp├Ąter die Seite ├╝ber regul├Ąres HTTP auf, wird der Cookie weiterhin an die Anwendung gesendet und ist dabei grunds├Ątzlich f├╝r Angreifer einsehbar.

Bedeutung von HSTS

Die Nutzung von HSTS oder HTTP Strict Transport Security ist im Sinne der Verschl├╝sselung von hoher Bedeutung. HSTS leitet in erster Linie User von regul├Ąren HTTP-Seiten auf verschl├╝sselte und damit sicherere HTTPS-Seiten um. HSTS-f├Ąhige Webbrowser lassen nur noch die Nutzung von HSTS zu. Der Standard erzwingt damit die Kommunikation der Anwendungsprogramme mit Webseiten ├╝ber verschl├╝sselte Verbindungen. Von Vorteil ist es, wenn Webseitenbetreiber und Entwickler die durch HSTS vorgenommene Umleitung gegen├╝ber ihren Seitenbesuchern kommunizieren.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte