Analyse von SSL/TLS-Verbindungen
Die folgende Beschreibung soll einem normalen Anwender die Möglichkeiten geben, SSL/TLS-Verbindungen oberflächlich auf ihre Wirksamkeit hin zu prüfen. Die Prüfroutinen basieren teilweise auf Kommandozeilen-Befehlen, von denen die meisten unter Linux und MacOS funktionieren sollten. Das jeweilige zurückgelieferte Ergebnis muss auf Hinweise auf eine erfolgreich verschlüsselte Verbindung untersucht werden.
Um die Ergebnisse richtig interpretieren zu können empfiehlt es sich vorher ausreichend mit den Grundlagen vertraut zu machen.
Webserver auf SSL/TLS testen
Einen Webserver kann man seine SSL/TLS-Eigenschaften und -Fähigkeiten testen. Dazu kann man einen Webdienst verwenden.
Der SSL/TLS-Test der SSLLabs führt den Verbindungsaufbau mit vielen verschiedenen Browsern durch und zeigt dann an, welche Verschlüsselung erreicht wurde. So wird in der Auswertung angezeigt, welche Verschlüsselungsverfahren und Schlüsselaustauschverfahren eingesetzt wurden.
Das funktioniert jedoch nur mit Webservern, die mit HTTPS auf Port 443 erreichbar sind.
HTTPS-Server auf Forward Secrecy testen
Wenn es nur darum geht, einen HTTPS-Server auf das Leistungsmerkmal Perfect Forward Secrecy (PFS) zu testen reicht folgender Befehl auf der Kommandozeile, sofern OpenSSL installiert ist.
openssl s_client -cipher 'ECDH:DH' -connect {Adresse des Webservers}:443
Befindet sich im zurückgelieferten Ergebnis die Angaben "DHE" oder "ECDHE", wobei das abschließende E für ephemeral, flüchtig oder vergänglich steht, dann wird der Sitzungsschlüssel nicht gespeichert. Sollte die Kommunikation aufgezeichnet werden, dann lässt sie sich auch nachträglich nicht entschlüsseln.
IMAP-Server auf SSL/TLS testet
Interessant ist eine verschlüsselte Kommunikation auch zwischen Mail-Clients und Mail-Servern. Auch hier bietet sich das Kommandozeilenprogramm OpenSSL für die Analyse von SSL-Funktionen an.
openssl s_client -connect {Adresse des IMAP-Servers}:993
Hier geht es darum, ob zum jeweiligen IMAP-Server eine verschlüsselte Verbindung möglich ist. War der Verbindungsaufbau erfolgreich, dann ist eine verschlüsselte Verbindung möglich.
Server auf STARTTLS testen
STARTTLS oder StartTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Kommunikation mittels Transport Layer Security (TLS). Die folgenden Kommandozeilen-Befehle ermitteln, ob eine Verbindung mit STARTTLS möglich ist. Das funktioniert mit den Protokollen "smtp", "pop3", "imap" und "ftp", bei denen man dann jeweils den dafür zuständigen Standard-Port wählen muss.
openssl s_client -starttls smtp -connect {Adresse des SMTP-Servers}:587
openssl s_client -starttls pop3 -connect {Adresse des POP-Servers}:995
openssl s_client -starttls imap -connect {Adresse des IMAP-Servers}:993
openssl s_client -starttls ftp -connect {Adresse des FTP-Servers}:22
War der Verbindungsaufbau erfolgreich, dann ist eine verschlüsselte Verbindung möglich.
Übersicht: SSL / TLS
- SSL - Secure Socket Layer
- TLS - Transport Layer Security
- TLS Version 1.3
- Schwachstellen von SSL/TLS
- HTTPS / HTTP Secure
- HSTS - HTTP Strict Transport Security
- PFS - Perfect Forward Secrecy
- HPKP - HTTP Public Key Pinning
- OCSP - Online Certificate Status Protocol
- CA-Pinning / Certification Authority Authorization
- CT - Certificate Transparency
- DANE - DNS-based Authentication of Named Entities
Weitere verwandte Themen:
- Verschlüsselung
- Verschlüsselung prüfen
- Grundlagen der Netzwerk-Sicherheit
- Sicherheitsrisiken und Sicherheitslücken in der Netzwerktechnik
- Kryptografische Verfahren und ihre Sicherheit (Übersicht)
Frag Elektronik-Kompendium.de
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Collection: Netzwerk-Grundlagen
Was du über Netzwerk-Grundlagen wissen solltest.
Schützen Sie Ihr Netzwerk
Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.
- Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
- Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
- Laufende Aktualisierung gegen neue Bedrohungen
Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.
Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen