Geschreven door: Stefanie Weber

Met het installeren van een SSL certificaat op de server bent u al een heel eind op weg naar online veiligheid voor u en uw klanten. Maar denkt u dat het beter kan, dan helpen wij u een eindje verder op weg met enkele veelgebruikte online scans voor uw servers en instellingen. Zo maken we samen het internet nog een stukje veiliger.

Hoofdstuk 1: SSL scan met SSL Labs
De SSL scan van SSL Labs, onderdeel van securitybedrijf Qualys, is één van de meest geprezen SSL tools op het internet. Het voert een zeer diepgaande configuratiecontrole uit van de opgegeven server, en geeft als resultaat een cijfer (van A+ tot F). Naast het cijfer geeft het een evaluatie van de configuratie met een enorme waslijst aan mogelijke veiligheidsproblemen of configuratiefouten.
SSL Labs staat er om bekend dat hun scans niet alleen enorm diepgaand zijn, maar ook erg goed up-to-date met de laatste veiligheidslekken en problemen omtrent SSL. Wanneer een vulnerability aan het licht komt wordt het dan ook zo snel mogelijk toegevoegd aan de scans. SSL Labs is daarom één van de meest toonaangevende en complete SSL scans op het internet.

De resultaten beter bekeken
Wanneer u een scan uitvoert over uw domeinnaam, levert dit een lange lijst met resultaten op. SSL Labs controleert namelijk op allerlei onderdelen van uw SSL configuratie, en geeft u de resultaten van alle controles, ook als deze resultaten goed zijn. Om beter door de bomen het bos te kunnen zien, lopen we door de lijst heen.

goede-scan-met-aresultaat

Summary
In de samenvatting van de scan vindt u uw cijfer terug. Sommige scans worden als breekpunten gezien door SSL Labs, zoals recent ontdekte kwetsbaarheden of problemen die onmiddellijk opgelost moeten worden. Deze worden in de summary aangemerkt om zo de aandacht er voor te vragen. Wanneer een probleem direct opgelost moet worden, staat deze onder het cijfer in een dikke rode balk. Maar ook goede configuraties en instellingen worden hier aangestipt.

slechte-scan-met-f-resultaat

Authentication
Onder het kopje Authentication wordt het SSL certificaat onder de loep genomen. Hierin bekijkt de scanner of het certificaat goed is geïnstalleerd, of het nog geldig is, of het een EV certificaat is, hoe sterk de key is,  met welke details deze is aangevraagd, en of de CA een betrouwbare partij is. Ook is het certification path hier te vinden: dit is de complete trust chain van het certificaat, van het server certificaat via het intermediate certificaat (of intermediate certificaten) naar het root certificaat. Wanneer dit path incompleet is, kunnen gebruikers van de website mogelijk problemen ondervinden met het bezoeken van de website.

certificate-paths
(bron, 14-10-2016)

Een voorbeeld van hoe dit problemen kan veroorzaken kwam vorige week nog aan het licht toen bleek dat de CA GlobalSign per ongeluk een cross-certificaat had verwijderd uit de chain. Hierdoor werd het intermediate certificaat van GlobalSign per abuis door browsers aangevinkt als onveilig.

Configuration
De meest interessante gegevens die naar voren kunnen komen uit de scan, staan onder het kopje ‘Configuration’. De scan kijkt hiervoor naar de configuratie van het certificaat: welke protocollen worden ondersteund, en misschien wel belangrijker, welke niet, welke cipher suites worden gebruikt, en welke browser versies worden ondersteund en welke niet.

Zo kan het gebruik van SSL 3.0 ernstige veiligheidslekken opleveren. Geeft de scan dus aan dat deze nog actief is, is het aan te raden deze zo snel mogelijk te deactiveren.

protocols
(bron, 14-10-2016)

Hier wordt ook gekeken naar de cipher suites. Wanneer een bepaalde cipher suite wordt afgeraden, staat deze aangegeven in dikke rode tekst:

cipher-suites-insecure
(bron, 14-10-2016)

Ook de cipher suites die aangegeven staan als ‘Weak’ zijn niet verstandig om te blijven gebruiken:

cipher-suites
(bron, 14-10-2016)

Onder het kopje ‘Handshakes’ is te vinden welke browsers wel en welke geen problemen zullen geven bij het bezoeken van uw website. Met een moderne TLS configuratie zullen namelijk de meeste veiligheidslekken wel gedicht zijn, maar zullen mensen die gebruik maken van oude computers met oude browsers uw website niet kunnen bezoeken. Laat u dit wel toe, dan zwakt u de configuratie af, en daarmee de veiligheid van uw website.

Ten slotte bekijkt de scan ook allerlei protocollen onder het kopje Protocol Details. Hier staan veel van de recent gevonden beveiligingslekken, en wordt gekeken of de server die gescand is er vatbaar voor is. Enkele voorbeelden zijn DROWN, BEAST, POODLE, RC4 en DH zwakte. Maar het lijstje bevat ook goede protocollen, en controleert of de server daar gebruik van maakt. Enkele voorbeelden zijn HTST Reloading, HPKP, Forward Secrecy, Downgrade prevention en Secure Renegotiation.

Achter de meeste protocollen is een linkje te vinden naar artikelen die meer uitleg geven over de desbetreffende protocollen. Ook is over veel van deze protocollen meer te lezen in onze serie SSL en Verder.

Zelf aan de slag
Wilt u zelf uw servers configureren naar de best mogelijke instellingen? Een goede handleiding voor het juist en veilig configureren van een Linux webserver is hier te vinden. Voor het instellen van webservers die draaien op Windows kunt u hier terecht.

Volgende week bekijken we een scanner die uw headers onder de loep neemt.


Deel artikel via: