Analyse von SSL/TLS-Verbindungen

Die folgende Beschreibung soll einem normalen Anwender die Möglichkeiten geben, SSL/TLS-Verbindungen oberflächlich auf ihre Wirksamkeit hin zu prüfen. Die Prüfroutinen basieren teilweise auf Kommandozeilen-Befehlen, von denen die meisten unter Linux und MacOS funktionieren sollten. Das jeweilige zurückgelieferte Ergebnis muss auf Hinweise auf eine erfolgreich verschlüsselte Verbindung untersucht werden.

Um die Ergebnisse richtig interpretieren zu können empfiehlt es sich vorher ausreichend mit den Grundlagen vertraut zu machen.

Webserver auf SSL/TLS testen

Einen Webserver kann man seine SSL/TLS-Eigenschaften und -Fähigkeiten testen. Dazu kann man einen Webdienst verwenden.

Der SSL/TLS-Test der SSLLabs führt den Verbindungsaufbau mit vielen verschiedenen Browsern durch und zeigt dann an, welche Verschlüsselung erreicht wurde. So wird in der Auswertung angezeigt, welche Verschlüsselungsverfahren und Schlüsselaustauschverfahren eingesetzt wurden.

Das funktioniert jedoch nur mit Webservern, die mit HTTPS auf Port 443 erreichbar sind.

HTTPS-Server auf Forward Secrecy testen

Wenn es nur darum geht, einen HTTPS-Server auf das Leistungsmerkmal Perfect Forward Secrecy (PFS) zu testen reicht folgender Befehl auf der Kommandozeile, sofern OpenSSL installiert ist.

openssl s_client -cipher 'ECDH:DH' -connect {Adresse des Webservers}:443

Befindet sich im zurückgelieferten Ergebnis die Angaben "DHE" oder "ECDHE", wobei das abschließende E für ephemeral, flüchtig oder vergänglich steht, dann wird der Sitzungsschlüssel nicht gespeichert. Sollte die Kommunikation aufgezeichnet werden, dann lässt sie sich auch nachträglich nicht entschlüsseln.

IMAP-Server auf SSL/TLS testet

Interessant ist eine verschlüsselte Kommunikation auch zwischen Mail-Clients und Mail-Servern. Auch hier bietet sich das Kommandozeilenprogramm OpenSSL für die Analyse von SSL-Funktionen an.

 openssl s_client -connect {Adresse des IMAP-Servers}:993

Hier geht es darum, ob zum jeweiligen IMAP-Server eine verschlüsselte Verbindung möglich ist. War der Verbindungsaufbau erfolgreich, dann ist eine verschlüsselte Verbindung möglich.

Server auf STARTTLS testen

STARTTLS oder StartTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Kommunikation mittels Transport Layer Security (TLS). Die folgenden Kommandozeilen-Befehle ermitteln, ob eine Verbindung mit STARTTLS möglich ist. Das funktioniert mit den Protokollen "smtp", "pop3", "imap" und "ftp", bei denen man dann jeweils den dafür zuständigen Standard-Port wählen muss.

 openssl s_client -starttls smtp -connect {Adresse des SMTP-Servers}:587
 openssl s_client -starttls pop3 -connect {Adresse des POP-Servers}:995
 openssl s_client -starttls imap -connect {Adresse des IMAP-Servers}:993
 openssl s_client -starttls ftp -connect {Adresse des FTP-Servers}:22

War der Verbindungsaufbau erfolgreich, dann ist eine verschlüsselte Verbindung möglich.

Übersicht: SSL / TLS

Weitere verwandte Themen:

Lernen mit Elektronik-Kompendium.de

Noch Fragen?

Bewertung und individuelles Feedback erhalten

Freitextaufgaben zum Artikel beantworten, korrigieren lassen und zum Profi werden.

Aussprache von englischen Fachbegriffen

Netzwerktechnik-Fibel

Alles was du über Netzwerke wissen musst.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was du über Netzwerke wissen musst.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Artikel-Sammlungen zum Thema Netzwerktechnik

Alles was du über Netzwerktechnik wissen solltest.

Netzwerk-Sicherheit

Netzwerk-Sicherheit

eBook kaufen

Heimnetzwerke

Heimnetzwerke

eBook kaufen

Netzwerk-Grundlagen

Netzwerk-Grundlagen

eBook kaufen

VPN

VPN

eBook kaufen