Analyse von SSL/TLS-Verbindungen
Die folgende Beschreibung soll einem normalen Anwender die Möglichkeiten geben, SSL/TLS-Verbindungen oberflächlich auf ihre Wirksamkeit hin zu prüfen. Die Prüfroutinen basieren teilweise auf Kommandozeilen-Befehlen, von denen die meisten unter Linux und MacOS funktionieren sollten. Das jeweilige zurückgelieferte Ergebnis muss auf Hinweise auf eine erfolgreich verschlüsselte Verbindung untersucht werden.
Um die Ergebnisse richtig interpretieren zu können empfiehlt es sich vorher ausreichend mit den Grundlagen vertraut zu machen.
Webserver auf SSL/TLS testen
Einen Webserver kann man seine SSL/TLS-Eigenschaften und -Fähigkeiten testen. Dazu kann man einen Webdienst verwenden.
Der SSL/TLS-Test der SSLLabs führt den Verbindungsaufbau mit vielen verschiedenen Browsern durch und zeigt dann an, welche Verschlüsselung erreicht wurde. So wird in der Auswertung angezeigt, welche Verschlüsselungsverfahren und Schlüsselaustauschverfahren eingesetzt wurden.
Das funktioniert jedoch nur mit Webservern, die mit HTTPS auf Port 443 erreichbar sind.
HTTPS-Server auf Forward Secrecy testen
Wenn es nur darum geht, einen HTTPS-Server auf das Leistungsmerkmal Perfect Forward Secrecy (PFS) zu testen reicht folgender Befehl auf der Kommandozeile, sofern OpenSSL installiert ist.
openssl s_client -cipher 'ECDH:DH' -connect {Adresse des Webservers}:443
Befindet sich im zurückgelieferten Ergebnis die Angaben "DHE" oder "ECDHE", wobei das abschließende E für ephemeral, flüchtig oder vergänglich steht, dann wird der Sitzungsschlüssel nicht gespeichert. Sollte die Kommunikation aufgezeichnet werden, dann lässt sie sich auch nachträglich nicht entschlüsseln.
IMAP-Server auf SSL/TLS testet
Interessant ist eine verschlüsselte Kommunikation auch zwischen Mail-Clients und Mail-Servern. Auch hier bietet sich das Kommandozeilenprogramm OpenSSL für die Analyse von SSL-Funktionen an.
openssl s_client -connect {Adresse des IMAP-Servers}:993
Hier geht es darum, ob zum jeweiligen IMAP-Server eine verschlüsselte Verbindung möglich ist. War der Verbindungsaufbau erfolgreich, dann ist eine verschlüsselte Verbindung möglich.
Server auf STARTTLS testen
STARTTLS oder StartTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Kommunikation mittels Transport Layer Security (TLS). Die folgenden Kommandozeilen-Befehle ermitteln, ob eine Verbindung mit STARTTLS möglich ist. Das funktioniert mit den Protokollen "smtp", "pop3", "imap" und "ftp", bei denen man dann jeweils den dafür zuständigen Standard-Port wählen muss.
openssl s_client -starttls smtp -connect {Adresse des SMTP-Servers}:587 openssl s_client -starttls pop3 -connect {Adresse des POP-Servers}:995 openssl s_client -starttls imap -connect {Adresse des IMAP-Servers}:993 openssl s_client -starttls ftp -connect {Adresse des FTP-Servers}:22
War der Verbindungsaufbau erfolgreich, dann ist eine verschlüsselte Verbindung möglich.
Übersicht: SSL / TLS
- SSL - Secure Socket Layer
- TLS - Transport Layer Security
- TLS Version 1.3
- Schwachstellen von SSL/TLS
- HTTPS / HTTP Secure
- HSTS - HTTP Strict Transport Security
- PFS - Perfect Forward Secrecy
- HPKP - HTTP Public Key Pinning
- OCSP - Online Certificate Status Protocol
- CA-Pinning / Certification Authority Authorization
- CT - Certificate Transparency
- DANE - DNS-based Authentication of Named Entities
Weitere verwandte Themen:
- Verschlüsselung
- Verschlüsselung prüfen
- Grundlagen der Netzwerk-Sicherheit
- Sicherheitsrisiken und Sicherheitslücken in der Netzwerktechnik
- Kryptografische Verfahren und ihre Sicherheit (Übersicht)
Lernen mit Elektronik-Kompendium.de
Noch Fragen?
Bewertung und individuelles Feedback erhalten
Aussprache von englischen Fachbegriffen
Netzwerktechnik-Fibel
Alles was du über Netzwerke wissen musst.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Netzwerktechnik-Fibel
Alles was du über Netzwerke wissen musst.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Alles was du über Netzwerktechnik wissen solltest.