Wie unter anderem hieran, daran oder auch daran deutlich wird, kann man bei der Konfiguration eines Webservers mit SSL viel falsch machen. SSL Labs war so freundlich und hat einen Online-Check veröffentlicht, mit dem man im Internet erreichbare Webserver auf SSL-Konfigurationsschwächen testen kann.
Ein Hinweis: Man landet automatisch bei einer Prüfung in der SSL-Datenbank des Betreibers.
Update 03.12.2010
Man kann die Schwachstelle auch ohne spezielle Tools testen. Eine Prüfung ist von einem Linux-Client auf dem Openssl-Client installiert aus wie folgt überprüfbar. Hierzu muss das System di-rekt (also ohne Proxies) auf das Zielsystem zugreifen können:
openssl s_client -connect www.ihrsystem.de:443
Wenn Folgendes angezeigt wird, ist der Server nicht verwund-bar: Secure Renegotiation IS supported. Im Falle, dass ein sicherer Verbindungswiederaufbau nicht un-terstützt wird, ist es dennoch möglich, dass der Server nicht verwundbar ist, falls der Verbindungswiederaufbau durch die Konfiguration vollständig verhindert wird. Hierzu im Anschluss Folgendes eingeben:
HEAD / HTTP/1.0
R
Im Anschluss versucht der Openssl-Client einen Verbindungs-wiederaufbau. Erhält man die Meldung einer handshake failure, ist der Server ebenfalls nicht verwundbar. Erhält man diese nicht, sondern eine HTTP-Ausgabe, ist der Server verwundbar.
/gt