A HTTPS kapcsolatról annyit mindenki tud, hogy az biztonságos kapcsolat, de azt már kevesen, hogy mennyire az és ezt hogyan lehet kideríteni. Ebben a rövid blogbejegyzésben szeretnék neked bemutatni egy vadonat új eszközt a CypherCraft webes alkalmazást, amellyel erre a kérdésre kapsz hathatós választ.
Bármilyen webcímet, vagy szervert ellenőrizhet vele bárki és ezt javaslom is, ha biztos akarsz lenni abban, hogy egy adott oldal tényleg elég kesztyűs kézzel bánik-e az adataiddal. Amennyiben szervert üzemeltetsz, vagy esetleg webáruházad van, akkor még inkább ezt az eszközt ajánlom, hisz az igen részletes, mindenre kiterjedő hibajelzés mellett javaslatokat is kapsz a probléma kijavítására. Igen, van több konkurens ellenőrző is, de azok sem sebességben sem szemléletben nem veszik fel a versenyt a CypherCraft alkalmazással.
Ha a weboldalad más üzemelteti, és nem akarsz nagyon a mélyére ásni a dolgoknak, akkor semmi más dolgod nincs, mint megadni az oldalad webcímét az alkalmazásnak és ha piros az eredmény, akkor a címsorban található url-t elküldeni az üzemeltetőnek. Ne aggódj ez az URL tartalmazza már a te domain nevedet is.
Amennyiben szeretnéd megérteni, hogy mi ez az egész, akkor olvass tovább.
Szeretnélek gyorsan megnyugtatni, hogy ez az eszköz nem próbálja meg feltörni a webszerveredet, vagy lyukakat keresni a telepítéseden, hanem csak a kívülről látható beállításokat ellenőrizve minősíti az oldaladat.
Nem a webszerver és az operációsrendszer verziójára kíváncsi, pusztán az SSL beállításokat teszteli. Ok, de mi az az SSL és mi köze a HTTPS protokollhoz.
Elsőre talán megdöbbentő lesz, de a HTTPS nem protokoll, hanem az csak egy módszer arra, hogy közöld a böngésződdel, hogy titkosított kapcsolaton szeretnél a szerverrel társalogni. A protokoll, vagyis a titkosítás mikéntje az az SSL, vagyis igazából ma már inkább a TLS, és annak is a legújabb 1.3-as 2018 márciusában megjelent változata.
Gondolom sejted már, hogy ha a szerver és a böngésző különböző protokollt (vagy annak verzióját) használja, akkor nem fognak tudni beszélgetni egymással. Így igaz, ezért aztán a szerverek és a böngészők általában több ilyen protokollt támogatnak, hogy az újabb webszerverek is ki tudják szolgálni a régi böngészőket, és a régi webszervereket is el tudják érni az újabb böngészők.
Sajnos a történet itt nem ér véget, mert a különböző műveletekre (kulcs csere, azonosítás, titkosítás) más más kriptográfiai algoritmusokat használnak és az egyes műveleteken belül is több fajta algoritmus ami elfogadott. Ráadásul ezek az algoritmusok paraméterezhetőek, ami szintén befolyásolja megbízhatóságukat. Gondolj itt olyan dolgokra mint pl. a jelszó hossza, mely 1 karakternél még emberi erőforrással is könnyen törhető, míg 40 felett már jóval nehezebb akár géppel is végigpróbálni az összes lehetőséget. Talán a legismertebb ilyen az RSA algoritmusnál a kulcs hossza amit bitben adnak meg. Minél nagyobb a szám annál biztonságosabb a titkosítás.
Ok, de ekkora katyvaszban hogyan tud beszélgetni egymással a szerver és a böngésző. A megoldás az, hogy mielőtt nekiállnának beszélgetni van egy kézfogás, mely keretében a böngésző elküldi, hogy mire képes, és ebből a szerver a beállításai függvényében választ egy kombinációt.
Nos, ezt a beállítást teszteli a CypherCraft.
Most pedig nézzük meg, hogy miért javaslom ezt az eszközt a többivel szemben.
“Én a sebesség” - mondta Villám McQueen a verdákban, és én is ezért javaslom elsősorban a CypherCraft alkalmazást. Nem tudom, hogy hogy csinálják, de messze a leggyorsabb a mezőnyben ez az elemzés.
Ok, ok, a sebesség, de azért van jó pár egyéb tényező is amit érdemes lenne figyelembe venni. Nos igen, ehhez hívjuk segítségül a BadSSL oldalt, melyen direkt hibás SSL beállítások vannak, így könnyedén össze tudjuk vetni az egyes ellenőrzőket. Sőt javaslom is, hogy tedd ezt meg, és válaszd ki a neked legjobban tetszőt, és írd le nekem, hogy miért azt választottad.
Szigorúság az egyik legfontosabb tulajdonsága egy ilyen ellenőrzőnek, márpedig ebben a CypherCraft igen jól áll. Mit is jelent ez? Hát azt, hogy a sok-sok paraméter közül mindig a legrosszabb fogja megmondani a tényleges értékelést. Ezért van az, hogy a Facebook az ImmuniWeb és a SSLLabs ellenőrzőjétől kitűnő (A) és elfogadható (B) értékelést kapott, addig a CypherCraft és a CryptCheck a lehető legrosszabb F minősítést adta.
Az F értékelés természetesen nem jelenti azt, hogy egy megfelelően modern böngészővel meglátogatva kedvenc közösségi oldalunkat ne lenne megbízható a titkosítás. Az F azt jelenti, hogy van olyan böngésző (IE8), amivel nem tekinthetjük biztonságosnak a kapcsolatunkat. Igen, ha javítjuk ezt a beállítást, akkor elveszíthetjük az IE8 felhasználóinkat, de ez ebben a pillanatban már üzleti kérdés, és nem biztonságtechnológiai.
A CypherCraft a többi ellenőrzővel szemben nem csak egy összevont értékelést mutat meg, hanem itt le tudom olvasni azt is, hogy ez az értékelés hogyan jött ki. Nem kell keresgélnem, és tanakodnom, hogy vajon mi lehet a probléma, hanem egyből világosan látszanak a problémás pontok.
Ráadásul nem csak azt tudom leolvasni, hogy pontosan hol van a hiba, hanem az értékeléshez egy részletes leírás, és egy javasolt megoldás is a rendelkezésemre áll. Tessék csak rákattintani a táblázat bármely elemére.
Ha ez még nem lenne elég, akkor még elárulom, hogy a CypherCraft olyan ellenőrzéseket is elvégez, amiket a többi konkurense nem. E rövid bejegyzés nem alkalmas arra, hogy mindet itt felsoroljuk, de érdekességképpen álljon itt egy olyan bődületes hiba, aminél egy prím szám helyett egy nem prímet használunk, téve ezzel könnyen megfejthetővé a titkosításunkat. ImmuniWeb B-, SSLLab A, CryptoCheck B, CypherCraft F. Vagyis, ha nem a CypherCraft alkalmazással teszteljük az oldalunkat, akkor nem fogunk rájönni, hogy teljesen dilettáns módon félre van konfigurálva a szerverünk.
Jegyezzük meg a végére, hogy a titkosítatlan kapcsolatnál csak egy rosszabb van, ez pedig a hamis biztonságérzetet adó, hibásan konfigurált TLS kapcsolat. Használjátok a CypherCraft alkalmazást, hogy elkerüljétek ezt a csapdát.