Otestujte šifrovací schopnosti svého prohlížeče a systému
14. 10. 2013 | Jindřich Zechmeister
Při každém vstupu na stránky zabezpečené protokolem HTTPS se musí váš prohlížeč a server domluvit na tom, jak budou komunikaci šifrovat. To je ovlivněno nastavením serveru, ale také vlastnostmi prohlížeče. Víte, jak je na tom váš prohlížeč a jaké metody šifrování podporuje?
Protokoly, šifry, algoritmy
V současnosti můžete s webovým serverem komunikovat pěti používanými protokoly. Nejpoužívanější jsou dnes SSL v3 a TLS 1.0, ale staré SSL v3 již není považováno za zcela bezpečné. V použití TLS 1.0 nejsou velké bezpečnostní rizika, novější protokoly TLS jsou však bezpečnější, protože jejich zranitelnosti nejsou známy.
Zastaralý a z pohledu bezpečnosti nedostačující protokol SSL v2 používá stále mnoho serverů. Pokud na vašem PC podporujete tento protokol, doporučuji ho již přestat používat. Jako nejstarší SSL protokol odborníci doporučují použít SSL v3, lépe TLS 1.0.
Novější protokol TLS, který SSL v3 nahradil, je nyní dostupný ve třech verzích. Nejnovější TLS 1.2 donedávna podporoval pouze Internet Explorer 10 (11), to se však již změnilo. Firefox ho v defaultním stavu nepoužívá; jak ho zapnout však najdete níže.
Z pohledu kompatibility internetových serverů je jistotou nejčastěji používaný protokol TLS 1.0, u kterého jsou sice známy bezpečnostní slabiny, ale jeho použití není rizikové a podporuje ho většina prohlížečů. Analýzou použitých protokolů a technologií na straně serverů se Qualys zabývá ve statistice SSL Pulse; najdete v ní výsledky z více než 160 tisíc webových serverů. Výsledky nejsou vždy zcela uspokojivé, o čemž jsme informovali v článku Dle analýzy nemá 86 % webů s SSL certifikátem dokonalé zabezpečení.
Kompletní analýza schopností prohlížeče
Odborníci z Qualys se věnují analýze použití SSL certifikátů a provozují známý ověřovač SSL certifikátu, který otestuje váš server a zjistí případné nedostatky jeho nasazení.
Nedávno Qualys zveřejnil nový ověřovač SSL schopností prohlížeče, který testuje SSL/HTTPS z pohledu návštěvníka. Test vám dokáže prozradit, jaké protokoly váš prohlížeč podporuje a jaké je schopen použít.
Test prohlížeče otestuje i podporu Server Name Indication (SNI), která umožňuje použití více SSL certifikátů na jedné IP adrese. Na straně serverů je podporována jak Apache, tak i v poslední verzi IIS 8 (o novinkách v IIS 8 pojednává samostatný článek). SNI podporují všechny současné prohlížeče, krom Internet Exploreru na systému Windows XP.
Další důležitou informací je podpora hashovacího algoritmu SHA-2 v podpisu certifikátu, který se začíná prosazovat a naše certifikáty ho plně podporují. Hašovací funkce SHA-2 není podporovaná systémem Windows XP SP 2. Podpora hašovacích algoritmů SHA-2 (krom SHA-224) byla přidána v balíku SP3.
V následující tabulce najdete přehled kompatibility současných i starších prohlížečů. Informace jsou důležité i pro administrátory serverů a bezpečnostní manažery, kteří určují míru použitého zabezpečení.
| Prohlížeč | SSL 2 | SSL 3 | TLS 1.0 | TLS 1.1 | TLS 1.2 | SNI | SHA-2 | Pozn. |
|---|---|---|---|---|---|---|---|---|
| IE 6 | Ano | Ano | Ne* | Ne | Ne | Ne | Ne | |
| IE 7 | Ne | Ano | Ano | Ne+ | Ne+ | XP NE, jinak ANO | Ano (XP SP3 a vyšší) | |
| IE 8 | Ne | Ano | Ano | Ne*+ | Ne*+ | XP NE, jinak ANO | Ano | Win XP a Vista NE, Win 7 ANO* |
| IE 9 | Ne | Ano | Ano | Ne*+ | Ne*+ |
Ano | Ano | Win XP a Vista NE, Win 7 ANO* |
| IE 10 | Ne | Ano | Ano | Ne* | Ne* | Ano | Ano | Win 7 a 8 |
| IE 11 | Ne | Ano | Ano | Ano | Ano | Ano | Ano | Win 7 a 8 |
| Firefox | Ne | Ano | Ano | Ne* | Ne* | Ano | Ano | |
| Chrome | Ne | Ano | Ano | Ano | Ano | Ano | Ano (Vista a vyšší) |
Srovnání podpory algoritmů dle verze prohlížeče. Zdroj: Wikipedia.com, autor
Pozn: * Podporuje, ale ve výchozím stavu vypnuto, + Windows XP a Vista nepodporují
Jak nastavit podporu protokolů v systému
Chcete-li surfovat bezpečně a mít používané šifrovací protokoly pod kontrolou, doporučuji spravovat jejich použití na úrovní systému. K tomu poslouží bezplatný program Harden SSL/TLS (beta) známého odborníka Thierry Zollera. Program umožňuje ve vašem systému (Desktop i server) povolit či zakázat konkrétní protokol či šifrovací algoritmus. V nástrojích vytvořených Thierry Zollerem najdete i program SSL Audit (alpha), který testuje podporu technologií konkrétního serveru.
Snímek z programu Harden SSL
Prohlížeče Firefox a Chrome používají bezpečnostní knihovny Network Security Services (NSS). Knihovny NSS podporují TLS 1.2 od verze NSS 3.15.1. Pokud používáte linux, můžete si zkontrolovat, zdali máte aktuální verzi NSS a zdali může Chrome TLS 1.2 používat. Například v Ubuntu v tuto chvíli aktuální verze není (pravděpodobně bude ve verzi 13.10).
Od Firefoxu verze 25 je možné zapnout protokol TLS 1.2 (a 1.1). Můžete tak učinit ve známé stránce nastavení about:config, kde nastavíte parametr security.tls.version.max na hodnotu 3.
Firefox se zapnutou podporou TLS 1.2
Po úpravě nastavení bude i váš Firefox používat nejmodernější šifrovací protokol, jak ukazuje provedený test. Internet Explorer a Chrome není potřeba nastavovat, podporují nejnovější verzi protokolu TLS. Je však vhodné zvážit zakázání podpory SSL v3, což umožňují oba prohlížeče.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
