1. Hur man kan testa sin
HTTPS-server
Michael Boman
Omegapoint AB
2. Bakgrund
• Jag saknade ett bra verktyg för att utföra
OWASP-CM-001 tester (Testing for SSL-TLS,
OWASP Testing Guide)
o Kunde inte hitta några som uppfyllde mina krav
Gratis (även för kommersiellt bruk)
Körs lokalt (dvs. inte en webbtjänst)
Fungerar på Windows
• Utvecklade SSLAudit i Perl (GPL)
o http://code.google.com/p/sslaudit/
o Utvecklas inte längre
3. Bakgrund (2)
• Skriv om SSLAudit eller porta SSLScan?
o http://sourceforge.net/projects/sslscan/
• Portade SSLScan till Windows (GPL)
o http://code.google.com/p/sslscan-win/
• Utökade SSLScan med ytterligare
funktionalitet
o Renegotiation tester
o Förbättrat XML utskrifts-format
o Refactored utskrifts-koden
4. Vad är det vi letar efter igen....?
Protokoll:
• SSLv2 har inget skydd mot
man-in-the-middle attacker
• SSLv2 använder samma
nyckel används för
autentisering och kryptering
• SSLv2 har inte något skydd
mot TCP-sessions stängning
• SSLv3 & TLS har problem
med session renegotioation
Krypteringar:
• Vissa chiffer använder
anonym Key Exchange
[nyckel-utbyte] (kan leda till
man-in-the-middle attacker)
• Vissa chiffer har svaga
krypteringsalgoritmer
• Vissa chiffer använder kort
publika nyckel längd
• Vissa chiffer använder kort
privata nyckel längd
6. Varför skanna en massa HTTPS-
servrar?
• Jag upptäckte att vissa organisationer hade
väldigt dåliga HTTPS-inställningar, även
sådana som borde ha bra säkerhet
• Vad det otur i samplingen? Vad skiljer
organisationer med bra HTTPS-inställningar
från dom som inte har så bra HTTPS-
inställningar?
• Pengar? Popularitet? Industri?
7. Första försöket
• En instans med en stor samling av servrar
• Tog en evighet och var inte stabilt
• Kunde inte lätt fortsätta efter en misslyckad
körning
8. Andra försöket
• Multipla instanser med ett fåtal servrar
vadera
• Mycket snabbare, men tar fortfarande en
evighet att köra klart scanningen
• Fortfarande problem med att återstarta en
misslyckad scanning
– Fast jag behövde inte starta från början, bara
den misslyckade batchen
9. Tredje försöket
• Använde Amazon AWS
• SQS (Simple Queueing service) för att hantera
jobb
• S3 (Simple Storage Service) för att lagra
resultaten
• Multipla instanser scannar en server åt
gången vaddera
• Enkelt att återstarta misslyckade scanningar
• Tog fortfarande lång tid att utföra
scanningen…
10. Fjärde försöket
• Lade till Amazon EC2 till lösningen
• Nu har jag (teoretiskt) obegränsat antal
system att scanna från
• Kan scanna all data som behövs inom ett
par dagar utan problem
• Snabbare om jag vill betala för det
25. Slutsats
• Vad datan berättade för mig är att
• Pengar (Fortune) verkar ha något att göra med
att HTTPS finns påslaget
• Popularitet (Alexa) verkar ha något att göra med
att HTTPS har konfigurerats på ett säkert sätt
• Det finns inte någon uppenbar trend mellan vilken
industri organisationen är verksam i och deras
HTTPS-säkerhet
• Det verkar finnas ett svagt samband mellan företag
som gör affärer över Internet och dess förmåga att
erbjuda HTTPS på ett säkert sätt
26. Men den svenska marknaden då?
Jag arbetar tillsammans med .SE (Stiftelsen
för Internetinfrastruktur) för att få in samma
typer av HTTPS-tester jag utförde mot
Fortune 500 i .SEs hälsokoll