Verschlüsselung prüfen
Für den unbedarften Anwender ist es äußerst schwer, wie es um die Fähigkeiten des eigenen Browsers bezüglich Verschlüsselung bestellt ist. Noch schwerer ist es, festzustellen, welche Verschlüsselungsverfahren ein beliebiger Server verwendet, und ob das überhaupt sicher ist.
Der folgende Artikel beschäftigt sich damit, wie man auf einfache Art und Weise "Verschlüsselung prüfen" kann. Dabei sind beide Seiten der Kommunikation zu berücksichtigen. Der eigene Client, in diesem Fall der Browser. Und auf der anderen Seite der Server, beispielsweise der Webserver.
Welche Verschlüsselungsverfahren unterstützt der eigene Browser?
Die Webseite "How's My SSL" gibt darüber Auskunft, ob der eigene Browser sichere verschlüsselte Verbindungen aufbauen kann. Dazu ruft man einfach die Webseite dieses Dienstes auf und lässt sich eine Auswertung anzeigen.
Wenn hier alles grün ist, dann befindet sich der eigene Browser auf dem aktuellen Stand. Wenn nicht, dann sollte man sich möglichst bald eine neue Version seines Browsers beschaffen.
Die Testseite der Uni Hannover gibt ein paar mehr Details aus, sagt aber nichts darüber aus, ob der eigene Browser sichere Verschlüsselungsverfahren verwendet. Das Ergebnis dieser Webseite muss man also selber richtig interpretieren.
Anmerkungen zum Cipher Suite Support
Auf beiden Webseiten bekommt man die Liste der Verschlüsselungsverfahren (Cipher Suites) angezeigt, die der eigene Browser unterstützt. Die kann zum Beispiel so aussehen.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA
Jede Zeile repräsentiert eine Cipher Suite. Das ist eine Kombination aus Protokoll, Schlüsselaustausch, Authentifizierung, Verschlüsselung (Blocklänge und Cipher) und der verwendeten kryptografischen Hash-Funktion. Das bedeutet, dass die Sicherheit einer Verschlüsselung von mehreren Komponenten abhängig ist, die nahezu wahlweise miteinander kombiniert werden können. Bestimmte Kombinationen sind sicherer als andere.
Welche Verschlüsselungsverfahren unterstützt ein Webserver?
Es bringt nichts, wenn der eigene Browser sichere Verschlüsselungsverfahren beherrscht, wenn es der kontaktierte Server nicht tut. Wissen muss man, dass man zum Prüfen der Verschlüsselung eines Servers zu diesem eine Verbindung herstellen muss. Welche verwendet wird, hängt dann nur noch von den Fähigkeiten der Gegenstelle ab. Das bedeutet, vor der Verbindungsaufnahme weiß man nicht, ob eine verschlüsselte Verbindung sicher ist.
Hier muss man berücksichtigen, dass Verschlüsselung immer auch Rechenleistung seitens des Servers erfordert, was bei vielen gleichzeitigen Zugriffen eine Performance-Bremse sein kann. Aus diesem Grund konfigurieren Server-Betreiber meistens schnelle und gleichzeitig meist weniger sichere Verfahren, um Rechenleistung zu sparen.
Eine gute Anlaufstelle, um einen Webserver auf dessen Verschlüsselungsmöglichkeiten zu prüfen ist der SSL Test von Qualys, Inc. Hier gibt man die URL der Webseite ein und wartet auf das Test-Ergebnis.
Der Test braucht einige Sekunden. Die Auswertung dazu ist allerdings sehr ausführlich und zeigt Details, die andere Tools nicht verraten. Besonders schön ist die kompakte Darstellung für Nicht-Experten.
Verschlüsselung eines Webserver mit "sslscan" prüfen
Wenn es in aller Kürze darum geht, welcher Webserver welche Verschlüsselungsverfahren anbietet, empfiehlt sich das Kommandozeilen-Tool "sslscan" zu benutzen. Damit kann man sich Informationen über die unterstützten Verschlüsselungsverfahren anzeigen lassen.
"sslscan" ist Open Source und kann bei Sourceforge.net heruntergeladen werden. Alternativ steht es auch für Linux zur Verfügung.
Auf der Kommandozeile kann man sslscan folgendermaßen aufrufen:
sslscan www.elektronik-kompendium.de | grep Accepted
Accepted TLSv1 256 bits DHE-RSA-AES256-SHA Accepted TLSv1 256 bits AES256-SHA Accepted TLSv1 168 bits EDH-RSA-DES-CBC3-SHA Accepted TLSv1 168 bits DES-CBC3-SHA Accepted TLSv1 128 bits DHE-RSA-AES128-SHA Accepted TLSv1 128 bits AES128-SHA
Optimal wäre es, wenn hier "ECDHE-ECDSA-AES256-CBC-SHA256" oder "ECDHE-RSA-AES128-CBC-SHA256" stehen würde. In diesem Beispiel ist "DHE-RSA-AES256-SHA" als sicherste Variante aber auch OK. Eine Variante mit "ECDHE" anstatt "DHE" wäre sicherer. Aber das ist Ansichtssache. "ECDHE" steht für "Eliptic Curves Diffie Hellman Exchange".
Von "SSLv3" oder "RC4" sollte hier nichts stehen. Die werden als nicht sicher angesehen. Wenn doch, dann besteht immer die Gefahr, dass ein Angreifer, der sich als Man-in-the-Middle platzieren kann, eine verschlüsselte Verbindung versucht zu downgraden. Das heißt, er manipuliert die Verbindung so, dass eine möglichst schwache Verschlüsselung gewählt wird. Dann hat er es einfacher, die aufgezeichnete verschlüsselte Verbindung später schneller zu entschlüsseln. Aus diesem Grund sollten als unsicher angesehene Verfahren, wie SSLv3 und RC4, komplett deaktiviert werden.
Anleitung für eine sichere SSL/TLS-Server-Konfiguration
Eine gute Anleitung zur sicheren SSL-Konfiguration von Webservern liefert das Projekt Bettercrypto.org.
Wie steht es um die aktuelle Verbindung?
Unabhängig davon, was der eigene Browser und ein ferner Webserver können, ist es wesentlich interessanter zu sehen welche Verschlüsselung der Browser und der Webserver gerade ausgehandelt haben.
Für Linux und MacOS gibt es für die Kommandozeile die OpenSSL-Tools, mit denen man verschlüsselte Verbindungen aufbauen kann. Der folgende Befehl initiiert eine Verbindung auf dem HTTPS-Port 443 ohne Daten abzurufen.
openssl s_client -connect www.elektronik-kompendium.de:443
Die Ausgaben sind verschiedene Informationen zum verschlüsselten Verbindungsaufbau. Zum Beispiel das Zertifikat des Webservers, Informationen zum Zertifikat und der verschlüsselten Verbindung.
Alternativ kann man die Informationen auch über den eigenen Browser abfragen. Chrome zeigt die Verschlüsselungsart ohne Hilfsmittel an, Safari und Firefox nicht. Speziell für Firefox gibt es einige Addons.
SSLeuth
SSLeuth klingt sich wahlweise in die Adresszeile oder Toolbar ein. Per Klick bekommt man Informationen über die eingesetzte Cipher-Suite und eventuelle Unsicherheiten. Hier kann man auch Einstellungen am eigenen Webbrowser vornehmen, wenn man die verschlüsselten Verbindungen noch sicherer machen möchte. Beispielsweise weil man die Verschlüsselung zu einem Webserver testen will.
Calomel SSL Validation
Unter Firefox ist hierbei das Addon "Calomel SSL Validation" hilfreiche. Es zeigt an, was gerade benutzt wird und gibt eine Einschätzung ab, wie gut oder schlecht die Verbindung unter Sicherheitsgesichtspunkten zu bewerten ist.
Eine Ampel, die dem User anzeigt, wie sicher, die SSL/TLS Einstellungen des Servers sind.
Weitere verwandte Themen:
- Kryptografie
- Verschlüsselung
- SSL - Secure Socket Layer
- TLS - Transport Layer Security
- HTTPS / HTTP Secure
Teilen:
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Schützen Sie Ihr Netzwerk

Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.
- Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
- Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
- Laufende Aktualisierung gegen neue Bedrohungen
Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.
Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen