Jednym z najlepszych narzędzi (o ile nie najlepszym) do weryfikacji konfiguracji SSL/TLS serwera HTTP jest SSL Labs, którego głównym twórcą jest Ivan Ristić. Wraz z końcem roku podsumował on na swoim blogu zmiany jakie zaszły na SSL Labs w ostatnich dwunastu miesiącach
Burzliwy rok
Jak wskazuje Ivan Ristić rok 2014 nie był nudnym rokiem dla technologii SSL/TLS. Wystarczy wymienić chociażby dwa głośne błędy: Heartbleed i POODLE, które spowodowały niemałe zamieszanie w świecie bezpieczeństwa informatycznego.
Narzędzie SSL Labs korzysta z 6 stopniowej skali ocen konfiguracji serwera, gdzie A oznacza najlepszą konfigurację, a F najgorszą (niektóre konfiguracje mogą być także ocenione na A+ lub A-).
Podążając za ciągle zmieniającymi się standardami bezpieczeństwa, w ciągu roku na SSL Labs zaszły zmiany wymienione niżej:
- serwer wspierający protokół SSL 3.0 nie otrzyma wyższej oceny niż B, a w przypadku, gdy jest podatny na atak POODLE – C;
- jeżeli serwer wspiera jedynie protokół SSL 3.0 otrzyma automatycznie F;
- serwer wspierający strumieniowy algorytm szyfrujący RC4 nie otrzyma oceny wyższej niż B;
- w przypadku niepełnej ścieżki certyfikacyjnej, serwer nie otrzyma oceny wyższej niż B;
- ocenę A+ otrzyma ten serwer, który posiada wsparcie dla TLS_FALLBACK_SCSV i certyfikaty ze ścieżki certyfikacyjnej oparte są na funkcji skrótu SHA-2 (certyfikat końcowy i certyfikat/y pośredni/e, certyfikat główny (Root) nie jest brany pod uwagę) – są to dwa nowe warunki dodatkowe, obok szeregu innych.
Nie tylko serwer
Narzędzie SSL Labs pozwala nie tylko na sprawdzenie konfiguracji serwera, ale także klienta (przeglądarki). Możemy sprawdzić między innymi jakie wersje protokołu SSL/TLS i jakie zestawy szyfrów wspiera wykorzystywana przez nas przeglądarka.
Także w tej części narzędzia doszło do wielu zmian na przestrzeni mijającego roku. Ivan Ristić wyróżnił tutaj rozszerzenie testu o uwzględnienie wszystkich wersji protokołu, od SSL 2.0 do TLS 1.2.
Autor zapowiada dalszy rozwój, będącego już teraz świetnym narzędziem, SSL Labs. Miejmy nadzieję, że zmiany te nie będą powodowane odkrywaniem kolejnych luk bezpieczeństwa.