SSL (Secure Sockets Layer) is een versleutelingsmethode waarmee de communicatie tussen servers onderling of tussen clients en servers wordt beveiligd. De bekendste vorm is de omschakeling van http naar https binnen de browser bij het bezoek aan sites voor bankzaken of het doen van een bestelling. SSL is een belangrijk onderdeel van de beveiliging van computernetwerken en communicatie tussen computers.

Een aantal stadia

SSL draait binnen het OSI-model bovenop het transportprotocol TCP. Het wordt gebruikt om ieder protocol dat gebruik maakt van TCP te beveiligen, maar wordt vooral gebruikt voor http, smtp en ftp. Bij het beveiligen van de verbinding doorloopt SSL een aantal stadia, de peers onderhandelen eerst over het te gebruiken versleutelingsalgoritme, daarna vindt de key-exchange plaats en authenticeert iedere deelnemer zich. Tot slot wordt het verkeer versleuteld.

Authenticatie is het proces waarbij een computer of gebruiker bewijst dat hij is wie hij zegt dat hij is. Dit gebeurt door middel van een certificaat. Dat certificaat wordt gecontroleerd op echtheidskenmerken en door na te gaan of het certificaat nog geldig is. Het certificaat is daarbij het digitale paspoort van de deelnemers aan de SSL-versleuteling.

Kwaliteitstest

Het Amerikaanse Qualys richt zich op IT-beveiliging en levert software en diensten voor beveiligingstests en het controleren van compliance. Het bedrijf biedt ook een aantal beveiligingsdiensten gratis aan op het internet. Daarvan zijn de SSL Labs een voorbeeld. SSL Labs is een website met een grote hoeveelheid informatie over SSL en de manier waarop het geïmplementeerd en onderhouden moet worden, voornamelijk in de vorm van whitepapers.

Maar SSL Labs biedt ook een online test van de kwaliteit van de SSL-beveiliging van een server. In het invoervak linksonder op de website van SSL-Labs kun je de domeinnaam van een server ingevoeren en na een klik op Submit, begint SSL Labs een aantal standaard routines te doorlopen die valide zijn binnen SSL. Als het daarmee klaar is toont het een uitgebreid rapport met een summary en ook een Amerikaanse rating (A voor goed, tot en met F voor slecht) maar ook met details over de geldigheid van het certificaat en de ondersteunde protocollen (de verschillende versies van SSL en ook het nieuwere TLS). Daarnaast zal het, indien er zwakheden worden ontdekt, melden dat er iets fout zit en een oordeel vellen over bijvoorbeeld de compliancy met de PCI DSS certificering.

Tijd voor actie

De waarde van SSL Labs zit onder andere in het mensen wakker schudden, dat ook SSL blijvende aandacht nodig heeft en onderhouden dient te worden om de beveiliging op niveau te houden. Maar het is daarnaast handig om met een snelle scan de kwaliteit van een nieuwe SSL-implementatie te controleren. Alleen al omdat de meeste SSL-implementaties werken met techniek van derden. Het testen van dergelijke code op beveiliging is lastig en wordt lang niet altijd gedaan voordat deze in gebruik wordt genomen. Een snelle scan als de SSL Labs SSL Server-test is dan een mooi begin, of een goed alternatief.

Let wel, alle gegevens van servers die je test zijn publiek toegankelijk. Op de SSL Server Test-pagina worden de laatst geteste systemen automatisch vermeld, inclusief hun rating en een volledig inzicht in de bijbehorende rapportage. Daar is ook niets geheim aan. Maar als je je domeinnaam telkens terugziet in die lijsten met slechte ratings, dan wordt het tijd om actie te ondernemen.

Bron: Techworld