10:06
9/1/2014

Przetestuj obsługę SSL w twojej przeglądarce

W sieci pojawił się serwis pozwalający przetestować obsługę SSL/TLS w przeglądarce. Wystarczy wejść na stronę https://www.howsmyssl.com/ — test wykona się automatycznie. Poprawny komunikat, który powinniście zobaczyć to:

Inne możliwe oceny — i powody ich uzyskania to:

* Clients are downgraded to Improvable if they do not support ephemeral key cipher suites, do not support session tickets, or are using TLS 1.1.

* Clients are downgraded to Bad if any of the following are true:
– It uses TLS 1.0 (instead of 1.1 or 1.2), or, worse, SSLv3 or earlier.
– It supports known insecure cipher suites. Developers can find the list of known insecure cipher suites in the howsmyssl repository on GitHub.
– It supports TLS compression (that is compression of the encryption information used to secure your connection) which exposes it to the CRIME attack.
– It is susceptible to the BEAST attack.

Rozbudowane wyjaśnienia powyższych problemów znajdziecie na stronie z opisem projektu. Oczywiście strona może posłużyć do testowania dowolnego klienta HTTPS, nie tylko przeglądarki.

Firefox 26 jest popsuty

Niestety, korzystający z przeglądarki Firefox 26 nie zobaczą oceny Probably OK, dopóki nie zmienią w about:config poniższych ustawień sugerowanych przez jednego z użytkowników Reddita, który trafił na ten bug w Mozilli:

security.ssl3.rsa_fips_des_ede3_sha = false
security.tls.version.max = 3.
security.tls.version.min = 2

Uwaga! Ostatnie ustawienie może uniemżliwić logowanie do starszych serwisów

A gdyby chcieć przetestować serwer, a nie klietna?

Wtedy warto skorzystać np. z tego narzędzia: https://www.ssllabs.com/ssltest/index.html.

A gdybyś chciał przetestować serwer Jabbera?

To Jajcuś podpowiada, że jest https://xmpp.net/

PS. Zapobiegliwy autor zarezerwował także domenę https://howsmytls.com/ ;-)

Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. Wyjaśnienie “zapobiegliwości”, tutaj: https://www.howsmyssl.com/s/about.html#tls-vs-ssl

  2. Odpalilem w szkole, oczywiście przeglądarka dostała pałe. xD

  3. W FF26 zmiana konfiguracji pozwala uzyskac oczekiwany rezultat Probably OK.. ale jednoczesnie uniemozliwia dalsze korzystanie z niektorych serwisow, przykladowo dla: https://www.phpbb.com/ leci błąd Error code: ssl_error_no_cypher_overlap .

    • Ustaw 1 zamiast 2 w:
      security.tls.version.min = 1
      I przejdzie test, i otworzy się tamta strona.

    • A wiecie chociaż co to są za ustawienia, które zmieniacie? ;)

    • Zmienia obsługę TLS na 1 czyli tą którą powinno się zakopać. Niby test oszukacie ale przy negocjacji połączenia na tej stronie będzie szalał TLS w wersji podatnej m. in. na BEAST.

    • Jak macie inne rozwiązania, to chętnie posłucham :)

      (do moderatora: poprzedni post o tej treści można usunąć, nie jest jako “odpowiedź”. Zbyt często tu nie komentuje ^^)

  4. Po tych zmianach test przechodzę ok. Natomiast na pocztę wp nie mogę się zalogować.

  5. Pomaga przestawienie tsl.version.min na 1

    • OK. U mnie tez to pomaga. Jak rozumiem chodzi juz tylko o wersje TSL wykorzystywana/wspierana przez serwis.

  6. A w ff 27 nie trzeba nic ustawiać i jest “Your SSL client is Probably Okay.”.

  7. FF 27.0 beta jest probably ok

  8. W IE na Windows Phone 8 dramat, używa TLS 1 :(

  9. Wystarczy zostawić domyślne security.tls.version.min = 0
    i można logować się do starszych serwisów (ale dalej dostanie się wynik Probably Okay) :)

  10. Heh, po zmianie ustawień w FF na zalecane straciłem możliwość zalogowania się na konto w banku…

    • Który to bank taki fajny? ;-)

  11. Jak nadal nie działa to należy przywrócić tsl.version.min na 0

  12. Czy to znaczy że najnowszy firefox nie obsługuje tych protokołów szyfrowania? Proszę o łopatologiczne wyjaśnienie. I co daje dopisanie tej linijki z artykułu?

  13. Przeglądarka Apple Safari 6.1.1 – wynik: “Your SSL client is Bad.”

  14. Webmail interii działa tylko z security.tls.version.min = 0

  15. Hmm, Firefox Nightly 29 przechodzi test bez grzebania w about:config ;)

  16. Stockowa przeglądarka androida : bad

  17. Android Opera Classic – domyślnie BAD. Po włączeniu TLS 1.2 i 1.3 (domyślnie wyłączone) w about:config -> Security Prefs wynik daje IMPROVABLE (przez session ticket support, czego niby Operka nie obsługuje).

    • Sorry, miałem na myśli 1.1 i 1.2.

    • Desktopowa Opera 12.15 też nie bangla z powodu tych ticketów. Pierwszy test Bad, ale zaptaszkowałem TLS 1.2 i jest Improvable :)

      Zapytałbym czy ktoś wie czemu O. się tego nie dorobiła, ale po przeczytaniu https://www.howsmyssl.com/s/about.html#session-ticket-support odnoszę wrażenie – może błędnie, niech ktoś mnie poprawi – że Session Tickets są mniej bezpieczne, i lepiej polegać na Ephemeral Key.

  18. Jak macie inne rozwiązania, to chętnie posłucham :)

  19. Safari @ iOS 7.1b3 – Improvable, Session Tickets nie bangla, reszta ok

  20. Ja w ogóle nie mogę wejść na tą stronę. Google Chrome od razu wywala komunikat: “Nieprawidłowy certyfikat serwera
    Podjęto próbę nawiązania połączenia z witryną http://www.howsmyssl.com, jednak serwer przedstawił nieprawidłowy certyfikat.”

  21. z podanymi ustawieniami https://www.bph.pl/ daje ssl_error_no_cypher_overlap, też trzeba ustawić security.tls.version.min=1 (czyli co? banki mają kiepskie zabezpieczenia?)

  22. IE 11 – OK.

    • Nie pod Windows 7 przy domyślnych ustawieniach.

  23. Ciekawostka w FF: jeśli się ustawi security.tls.version.max na wyżej niż 3, to znów się robi TLS 1.0 i “BAD”.

  24. Ta strona sieje FUD (jak zauważono na HN), dawanie najnowszemu Firefoxowi oceny “Bad” jest sianiem paniki, bo TLS 1.0 z CBC jest wystarczająco bezpieczny.

  25. Nie ogarniam, po co grzebiecie sobie w ustawieniach przeglądarki, tylko po to aby zobaczyć komunikat na tej stronce ? Poczujecie się przez to bardziej bezpieczni, czy jak ?

  26. Na Wine Internet Explorer pod Linuksem jest BAD.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.