10:06
9/1/2014

W sieci pojawił się serwis pozwalający przetestować obsługę SSL/TLS w przeglądarce. Wystarczy wejść na stronę https://www.howsmyssl.com/ — test wykona się automatycznie. Poprawny komunikat, który powinniście zobaczyć to:

Inne możliwe oceny — i powody ich uzyskania to:

* Clients are downgraded to Improvable if they do not support ephemeral key cipher suites, do not support session tickets, or are using TLS 1.1.

* Clients are downgraded to Bad if any of the following are true:
– It uses TLS 1.0 (instead of 1.1 or 1.2), or, worse, SSLv3 or earlier.
– It supports known insecure cipher suites. Developers can find the list of known insecure cipher suites in the howsmyssl repository on GitHub.
– It supports TLS compression (that is compression of the encryption information used to secure your connection) which exposes it to the CRIME attack.
– It is susceptible to the BEAST attack.

Rozbudowane wyjaśnienia powyższych problemów znajdziecie na stronie z opisem projektu. Oczywiście strona może posłużyć do testowania dowolnego klienta HTTPS, nie tylko przeglądarki.

Firefox 26 jest popsuty

Niestety, korzystający z przeglądarki Firefox 26 nie zobaczą oceny Probably OK, dopóki nie zmienią w about:config poniższych ustawień sugerowanych przez jednego z użytkowników Reddita, który trafił na ten bug w Mozilli:

security.ssl3.rsa_fips_des_ede3_sha = false
security.tls.version.max = 3.
security.tls.version.min = 2

Uwaga! Ostatnie ustawienie może uniemżliwić logowanie do starszych serwisów

A gdyby chcieć przetestować serwer, a nie klietna?

Wtedy warto skorzystać np. z tego narzędzia: https://www.ssllabs.com/ssltest/index.html.

A gdybyś chciał przetestować serwer Jabbera?

To Jajcuś podpowiada, że jest https://xmpp.net/

PS. Zapobiegliwy autor zarezerwował także domenę https://howsmytls.com/ ;-)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

36 komentarzy

Dodaj komentarz
  1. Wyjaśnienie “zapobiegliwości”, tutaj: https://www.howsmyssl.com/s/about.html#tls-vs-ssl

  2. Odpalilem w szkole, oczywiście przeglądarka dostała pałe. xD

  3. W FF26 zmiana konfiguracji pozwala uzyskac oczekiwany rezultat Probably OK.. ale jednoczesnie uniemozliwia dalsze korzystanie z niektorych serwisow, przykladowo dla: https://www.phpbb.com/ leci błąd Error code: ssl_error_no_cypher_overlap .

    • Ustaw 1 zamiast 2 w:
      security.tls.version.min = 1
      I przejdzie test, i otworzy się tamta strona.

    • A wiecie chociaż co to są za ustawienia, które zmieniacie? ;)

    • Zmienia obsługę TLS na 1 czyli tą którą powinno się zakopać. Niby test oszukacie ale przy negocjacji połączenia na tej stronie będzie szalał TLS w wersji podatnej m. in. na BEAST.

    • Jak macie inne rozwiązania, to chętnie posłucham :)

      (do moderatora: poprzedni post o tej treści można usunąć, nie jest jako “odpowiedź”. Zbyt często tu nie komentuje ^^)

  4. Po tych zmianach test przechodzę ok. Natomiast na pocztę wp nie mogę się zalogować.

  5. Pomaga przestawienie tsl.version.min na 1

    • OK. U mnie tez to pomaga. Jak rozumiem chodzi juz tylko o wersje TSL wykorzystywana/wspierana przez serwis.

  6. A w ff 27 nie trzeba nic ustawiać i jest “Your SSL client is Probably Okay.”.

  7. FF 27.0 beta jest probably ok

  8. W IE na Windows Phone 8 dramat, używa TLS 1 :(

  9. Wystarczy zostawić domyślne security.tls.version.min = 0
    i można logować się do starszych serwisów (ale dalej dostanie się wynik Probably Okay) :)

  10. Heh, po zmianie ustawień w FF na zalecane straciłem możliwość zalogowania się na konto w banku…

    • Który to bank taki fajny? ;-)

  11. Jak nadal nie działa to należy przywrócić tsl.version.min na 0

  12. Czy to znaczy że najnowszy firefox nie obsługuje tych protokołów szyfrowania? Proszę o łopatologiczne wyjaśnienie. I co daje dopisanie tej linijki z artykułu?

  13. Przeglądarka Apple Safari 6.1.1 – wynik: “Your SSL client is Bad.”

  14. Webmail interii działa tylko z security.tls.version.min = 0

  15. Hmm, Firefox Nightly 29 przechodzi test bez grzebania w about:config ;)

  16. Stockowa przeglądarka androida : bad

  17. Android Opera Classic – domyślnie BAD. Po włączeniu TLS 1.2 i 1.3 (domyślnie wyłączone) w about:config -> Security Prefs wynik daje IMPROVABLE (przez session ticket support, czego niby Operka nie obsługuje).

    • Sorry, miałem na myśli 1.1 i 1.2.

    • Desktopowa Opera 12.15 też nie bangla z powodu tych ticketów. Pierwszy test Bad, ale zaptaszkowałem TLS 1.2 i jest Improvable :)

      Zapytałbym czy ktoś wie czemu O. się tego nie dorobiła, ale po przeczytaniu https://www.howsmyssl.com/s/about.html#session-ticket-support odnoszę wrażenie – może błędnie, niech ktoś mnie poprawi – że Session Tickets są mniej bezpieczne, i lepiej polegać na Ephemeral Key.

  18. Jak macie inne rozwiązania, to chętnie posłucham :)

  19. Safari @ iOS 7.1b3 – Improvable, Session Tickets nie bangla, reszta ok

  20. Ja w ogóle nie mogę wejść na tą stronę. Google Chrome od razu wywala komunikat: “Nieprawidłowy certyfikat serwera
    Podjęto próbę nawiązania połączenia z witryną http://www.howsmyssl.com, jednak serwer przedstawił nieprawidłowy certyfikat.”

  21. z podanymi ustawieniami https://www.bph.pl/ daje ssl_error_no_cypher_overlap, też trzeba ustawić security.tls.version.min=1 (czyli co? banki mają kiepskie zabezpieczenia?)

  22. IE 11 – OK.

    • Nie pod Windows 7 przy domyślnych ustawieniach.

  23. Ciekawostka w FF: jeśli się ustawi security.tls.version.max na wyżej niż 3, to znów się robi TLS 1.0 i “BAD”.

  24. Ta strona sieje FUD (jak zauważono na HN), dawanie najnowszemu Firefoxowi oceny “Bad” jest sianiem paniki, bo TLS 1.0 z CBC jest wystarczająco bezpieczny.

  25. Nie ogarniam, po co grzebiecie sobie w ustawieniach przeglądarki, tylko po to aby zobaczyć komunikat na tej stronce ? Poczujecie się przez to bardziej bezpieczni, czy jak ?

  26. Na Wine Internet Explorer pod Linuksem jest BAD.

Odpowiadasz na komentarz M

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: