Iedereen heeft zo wel zijn favoriete tool om zaken te testen, analyseren, meten. Voor ons SSL departement is de CA Security Council SSL Labs test van Qualys een absolute must have.
Deze uitstekende online tool analyseert elke https installatie op basis van verschillende tests tegen gekende vulnerabilities en standaarden: het certificaat, de protocol ondersteuning, sleutel uitwisseling en encryptiesleutel sterkte…
Gekende vulnerabilities zoals DROWN, BEAST, POODLE en Heartbleed komen aan bod.
Aangezien voor het eerst in 20 jaar HTTPS voorsprong begint te krijgen, mede dankzij de geforceerde “push” naar https door onder andere Google, wordt het testen van een SSL installatie ontontbeerlijk, en zal de tool ook strenger worden. De test evolueert mee met de markt.
Vanaf 2017 worden geleidelijk aan wijzigingen ingevoerd:
- 3DES: Omwille van de Sweet32 vulnerability zal support voor 3DES in moderne browsers een C score krijgen.
- Forward Secrecy: sinds de aankondigingen van Edward Snowden heeft de industrie beslist om forward secrecy als een vereiste te gaan zien, wie dit niet inschakeld op de server zal een score van B krijgen op de server.
- AEAD Suites: geauthenticeerde communicatie wordt sterk aangeraden en AEAD biedt de enige ondersteuning voor TLS 1.3. AEAD suites is nodig om een A+ score te krijgen!
- TLS Fallback: sinds de POODLE vulnerability zijn browsers aangepast, dus TLS_FALLBACK_SCSV is niet langer nodig om een A+ score te kunnen behalen.
- Zwakke ciphers: alle ciphers minder dan 128 bits krijgen zonder pardon een F score.
- RC4: Servers die RC4 ondersteunen krijgen een C score.
- SHA-1: Sites die een SHA-1 certificaat gebruiken worden niet als vertrouwelijk gezien en de kans bestaat (dit is nog niet bevestigd) dat deze een F score krijgen. Wij raden iedereen aan een SHA-1 certificaat te vervangen door een SHA-256 certificaat!
De SSL Labs test helpt ons bij het verfijnen van een SSL certificaat installatie en helpt u als website of server eigenaar om op te volgen of uw SSL installatie nog steeds “up to par” is met de vereisten van een degelijke HTTPS setup.
Wij raden dan ook iedereen aan om op regelmatige basis de installatie na te kijken!
Start hier om uw HTTPS installatie te testen: casecurity.ssllabs.com
