SSLlabs zpřísňuje kritéria hodnocení

20. 3. 2017 | Jindřich Zechmeister

Známý nástroj pro analýzu SSL certifikátů a nastavení HTTPS na serveru se neustále vyvíjí. Autoři například doplňují testy na nově objevené hrozby. Nyní dochází je zpřísnění hodnotících kritérií, kterým věnuji tento článek. Co se tento rok v hodnocení SSLlabs mění?

Co je nového v hodnocení SSLlabs?

Autoři se rozhodli zpřísnit hodnocení v těchto kritériích:

  • 3DES: Kvůli zranitelnosti Sweet32 je podpora 3DES hodnocena sníženou známkou C. Šifrovací sady používající 3DES by měly být zakázané. Hodnocení se vztahuje i na ostatní 64b blokové šifry.
  • Forward Secrecy: Od kauzy Edwarda Snowdena, který odhalil možnosti špehování, doporučují odborníci využití Forward Secrecy. Tento mechanismus zabraňuje odposlechu již zaznamenaných dat. Servery, které Forward Secrecy nepodporují, budou mít hodnocení automaticky sníženo na známku B.
  • AEAD (Authenticated Encryption with Associated Data) sady: Autentizovaná komunikace je důrazně doporučována a šifry AEAD budou jediné sady podporované v protokolu TLS 1.3 (anonymní D-H se nebude používat). SSLlabs vyžaduje AEAD pro získání nevyššího hodnocení A+.
  • TLS Fallback: Od objevení zranitelnosti POODLE se prohlížeče snaží zamezit "protocol downgrade útoku", tedy záměrnému snížení úrovně šifrování. Proto už není TLS_FALLBACK_SCSV požadováno pro získání nejvyššího hodnocení A+; odpovědnost za ochranu návštěvníka před downgrade útokem převzaly prohlížeče.
  • Slabé šifry: Všechny šifry slabší než 112 bitů znamenají nejhorší hodnocení F.
  • RC4: Serverům podporujícím šifru RC4 bude hodnocení okamžitě sníženo na známku C.
  • SHA-1: Weby používající SHA-1 certifikáty už nebudou označeny jako důvěryhodné a můžete u nich očekávat známku F.

Změny nejsou dramatické, jak vidíte výše. Rozšířila se však množina situací, kdy váš server může získat nehorší hodnocení F. Předpokládám, že většinou to bude kvůli slabým šifrám, kterým mnoho správců nevěnuje patřičnou pozornost. Přechod z SHA-1 na SHA-2 je už dlouho dokončen, proto jistě nikdo nebude mít problém s absolutní penalizací SHA-1 certifikátů v SSLlabs.

Zdroj:

  1. SSLlabs: SSL Labs Grading Changes January 2017
  2. CAsecurity Council: Stricter Standards for SSL Server Test Coming in 2017

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz