SSL Server Test

Testul SSL Server Test, oferit de SSL Labs este un instrument online folosit pentru a verifica securitatea unui server web care folosește SSL/TLS (HTTPS). Internetul, sau mai exact World Wide Web, atunci când a fost conceput nu a luat în calcul în anii '90 implementarea unor mecanisme de securitate. Dezvoltat de un grup de cercetători în domeniul nuclear pentru a-și partaja și publica studiile, protocolul HTTP folosit pentru accesarea siturilor de pe Internet transmite datele în clar ceea ce va fi urmat să reprezinte o amenințare serioasă la utilizările ulterioare ale acestei tehnologii. Ulterior a devenit imperativă securizarea datelor transmise între browserul utilizatorului și serverul Web, adăugând un nivel de securitate protocolului HTTP care criptează aceste date astfel încât doar utilizatorul și serverul vizat să poată avea acces la ele. Acest protocol securizat, denumit HTTPS folosește un certificat instalat pe server cu ajutorul căreia sunt criptate aceste comunicații, și care certifică și autenticitatea site-ului respectiv. Totuși, dacă acest certificat folosește algoritmi vulnerabili, certificatul poate fi falsificat și utilizatorul nu va realiza dacă vizitează un site fals, cum ar fi o clonă a sitului de Internet Banking, sau comunicația poate fi decriptată de cineva care o interceptează să afle date secrete, parole sau confidențiale, date personale, tranzacții. Administratorii de servere web pot verifica dacă totul e configurat corect după instalarea unui certificat SSL pentru a asigura protecția datelor utilizatorilor și pentru conformarea cu standarde de securitate. Utilizatorii obișnuiți, pot folosi și ei serviciul pentru a verifica cât de sigur este un site înainte de a introduce date personale sau carduri.

• Verifică certificatul SSL/TLS: Dacă este valid, cine l-a emis, dacă e expirat, pentru ce domenii este emis etc.
• Verifică protocolul TLS folosit: Dacă folosește TLS 1.2 sau TLS 1.3 (versiunile mai vechi, cum ar fi SSL 3.0 sau TLS 1.0, sunt nesigure).
• Evaluează criptarea: Analizează suitele de criptare (cipher suites) suportate și dacă sunt sigure. Detectează folosirea unor algoritmi slabi sau vulnerabili (ex: RC4, DES, 3DES).
• Verifică configurarea serverului: Dacă este vulnerabil la atacuri cunoscute (ex: Heartbleed, BEAST, POODLE, etc.). Dacă are implementată corect protecția împotriva downgrade-ului (cum e HSTS).
• Atribuie un scor (ex: A+, A, B, F etc.). Scorul reflectă cât de sigur este serverul din punct de vedere SSL/TLS.

Folosirea SSL 3.0 sau TLS 1.0 implică riscuri serioase de securitate, deoarece aceste protocoale sunt vechi și conțin vulnerabilități cunoscute care pot fi exploatate de atacatori pentru a compromite confidențialitatea și integritatea datelor transmise.

SSL 3.0 este vulnerabil la atacul POODLE (Padding Oracle On Downgraded Legacy Encryption). Atacatorul poate forța conexiunea să "retrogradeze" la SSL 3.0 (chiar dacă serverul suportă protocoale mai noi) și apoi poate citi date criptate, cum ar fi cookie-uri de sesiune. În consecință se poate fura sesiunea unui utilizator și prelua controlul contului.

TLS 1.0 oferă criptografie slabă. A fost lansat în 1999 și folosește algoritmi de criptare care azi sunt considerați depășiți (ex: SHA-1, care poate fi spart). Suportă suite de criptare cu vulnerabilități (ex: RC4, 3DES), care pot permite: Decryptarea traficului sau Injectarea de date false în conexiune.

Risc de atacuri Man-in-the-Middle (MitM). Atacatorul se poate interpune între client și server și poate modifica sau citi datele transmise. În cazuri grave, poate prelua controlul unei sesiuni securizate.

Lipsa suportului pentru SNI, HSTS, ALPN și alte extensii moderne. Aceste extensii sunt importante pentru: Securitate suplimentară (ex: HSTS previne downgrade la HTTP). Compatibilitate cu HTTP/2 și performanță mai bună. Servirea mai multor certificate pe același IP (SNI)

Incompatibilitate cu standardele moderne. Browsere moderne (Chrome, Firefox, Safari, Edge) au renunțat complet la suportul pentru SSL 3.0 și TLS 1.0. Organizații precum PCI-DSS (pentru plăți online) interzic folosirea acestor protocoale pentru a fi în conformitate cu normele de securitate.

Este recomandată dezactivarea completă a certificatelor SSL 2.0, SSL 3.0, TLS 1.0 și TLS 1.1 pe server și folosirea doar TLS 1.2 și TLS 1.3 care sunt suportate de toate browserele moderne, mai rapide și mai sigure.