9/1/2014
W sieci pojawił się serwis pozwalający przetestować obsługę SSL/TLS w przeglądarce. Wystarczy wejść na stronę https://www.howsmyssl.com/ — test wykona się automatycznie. Poprawny komunikat, który powinniście zobaczyć to:
Inne możliwe oceny — i powody ich uzyskania to:
* Clients are downgraded to Improvable if they do not support ephemeral key cipher suites, do not support session tickets, or are using TLS 1.1.
* Clients are downgraded to Bad if any of the following are true:
– It uses TLS 1.0 (instead of 1.1 or 1.2), or, worse, SSLv3 or earlier.
– It supports known insecure cipher suites. Developers can find the list of known insecure cipher suites in the howsmyssl repository on GitHub.
– It supports TLS compression (that is compression of the encryption information used to secure your connection) which exposes it to the CRIME attack.
– It is susceptible to the BEAST attack.
Rozbudowane wyjaśnienia powyższych problemów znajdziecie na stronie z opisem projektu. Oczywiście strona może posłużyć do testowania dowolnego klienta HTTPS, nie tylko przeglądarki.
Firefox 26 jest popsuty
Niestety, korzystający z przeglądarki Firefox 26 nie zobaczą oceny Probably OK, dopóki nie zmienią w about:config poniższych ustawień sugerowanych przez jednego z użytkowników Reddita, który trafił na ten bug w Mozilli:
security.ssl3.rsa_fips_des_ede3_sha = false
security.tls.version.max = 3.
security.tls.version.min = 2
A gdyby chcieć przetestować serwer, a nie klietna?
Wtedy warto skorzystać np. z tego narzędzia: https://www.ssllabs.com/ssltest/index.html.
A gdybyś chciał przetestować serwer Jabbera?
To Jajcuś podpowiada, że jest https://xmpp.net/
PS. Zapobiegliwy autor zarezerwował także domenę https://howsmytls.com/ ;-)
Wyjaśnienie “zapobiegliwości”, tutaj: https://www.howsmyssl.com/s/about.html#tls-vs-ssl
Odpalilem w szkole, oczywiście przeglądarka dostała pałe. xD
W FF26 zmiana konfiguracji pozwala uzyskac oczekiwany rezultat Probably OK.. ale jednoczesnie uniemozliwia dalsze korzystanie z niektorych serwisow, przykladowo dla: https://www.phpbb.com/ leci błąd Error code: ssl_error_no_cypher_overlap .
Ustaw 1 zamiast 2 w:
security.tls.version.min = 1
I przejdzie test, i otworzy się tamta strona.
A wiecie chociaż co to są za ustawienia, które zmieniacie? ;)
Zmienia obsługę TLS na 1 czyli tą którą powinno się zakopać. Niby test oszukacie ale przy negocjacji połączenia na tej stronie będzie szalał TLS w wersji podatnej m. in. na BEAST.
Jak macie inne rozwiązania, to chętnie posłucham :)
(do moderatora: poprzedni post o tej treści można usunąć, nie jest jako “odpowiedź”. Zbyt często tu nie komentuje ^^)
Po tych zmianach test przechodzę ok. Natomiast na pocztę wp nie mogę się zalogować.
Pomaga przestawienie tsl.version.min na 1
OK. U mnie tez to pomaga. Jak rozumiem chodzi juz tylko o wersje TSL wykorzystywana/wspierana przez serwis.
A w ff 27 nie trzeba nic ustawiać i jest “Your SSL client is Probably Okay.”.
FF 27.0 beta jest probably ok
W IE na Windows Phone 8 dramat, używa TLS 1 :(
Wystarczy zostawić domyślne security.tls.version.min = 0
i można logować się do starszych serwisów (ale dalej dostanie się wynik Probably Okay) :)
Heh, po zmianie ustawień w FF na zalecane straciłem możliwość zalogowania się na konto w banku…
Który to bank taki fajny? ;-)
Jak nadal nie działa to należy przywrócić tsl.version.min na 0
Czy to znaczy że najnowszy firefox nie obsługuje tych protokołów szyfrowania? Proszę o łopatologiczne wyjaśnienie. I co daje dopisanie tej linijki z artykułu?
http://kb.mozillazine.org/Security.tls.version.*
Pozdrawiam. Andrzej
Przeglądarka Apple Safari 6.1.1 – wynik: “Your SSL client is Bad.”
Webmail interii działa tylko z security.tls.version.min = 0
Hmm, Firefox Nightly 29 przechodzi test bez grzebania w about:config ;)
Stockowa przeglądarka androida : bad
Android Opera Classic – domyślnie BAD. Po włączeniu TLS 1.2 i 1.3 (domyślnie wyłączone) w about:config -> Security Prefs wynik daje IMPROVABLE (przez session ticket support, czego niby Operka nie obsługuje).
Sorry, miałem na myśli 1.1 i 1.2.
Desktopowa Opera 12.15 też nie bangla z powodu tych ticketów. Pierwszy test Bad, ale zaptaszkowałem TLS 1.2 i jest Improvable :)
Zapytałbym czy ktoś wie czemu O. się tego nie dorobiła, ale po przeczytaniu https://www.howsmyssl.com/s/about.html#session-ticket-support odnoszę wrażenie – może błędnie, niech ktoś mnie poprawi – że Session Tickets są mniej bezpieczne, i lepiej polegać na Ephemeral Key.
Jak macie inne rozwiązania, to chętnie posłucham :)
Safari @ iOS 7.1b3 – Improvable, Session Tickets nie bangla, reszta ok
Ja w ogóle nie mogę wejść na tą stronę. Google Chrome od razu wywala komunikat: “Nieprawidłowy certyfikat serwera
Podjęto próbę nawiązania połączenia z witryną http://www.howsmyssl.com, jednak serwer przedstawił nieprawidłowy certyfikat.”
z podanymi ustawieniami https://www.bph.pl/ daje ssl_error_no_cypher_overlap, też trzeba ustawić security.tls.version.min=1 (czyli co? banki mają kiepskie zabezpieczenia?)
IE 11 – OK.
Nie pod Windows 7 przy domyślnych ustawieniach.
Ciekawostka w FF: jeśli się ustawi security.tls.version.max na wyżej niż 3, to znów się robi TLS 1.0 i “BAD”.
Ta strona sieje FUD (jak zauważono na HN), dawanie najnowszemu Firefoxowi oceny “Bad” jest sianiem paniki, bo TLS 1.0 z CBC jest wystarczająco bezpieczny.
Nie ogarniam, po co grzebiecie sobie w ustawieniach przeglądarki, tylko po to aby zobaczyć komunikat na tej stronce ? Poczujecie się przez to bardziej bezpieczni, czy jak ?
Na Wine Internet Explorer pod Linuksem jest BAD.