image

Google lanceert website voor testen ssl-configuratie browser

maandag 20 maart 2017, 11:51 door Redactie, 13 reacties

Google heeft een website genaamd BadSSL gelanceerd waarmee gebruikers handmatig de ssl-configuratie van hun browser kunnen testen, zoals ondersteunde encryptie-algoritmes, certificaten en foutmeldingen bij bijvoorbeeld ingetrokken of verlopen certificaten.

Op deze manier kunnen gebruikers kijken of ze bijvoorbeeld risico lopen doordat de browser zwakke encryptie-algoritmes ondersteunt of geen waarschuwing in bepaalde scenario's geeft. Het gaat hier niet om een officieel Google-product, zo blijkt uit de omschrijving op GitHub. Daarnaast laat de bruikbaarheid nog wel te wensen over, zo klagen gebruikers. Zo ontbreekt er een uitleg over de website en de bedoeling van de verschillende onderdelen.

Reacties (13)
20-03-2017, 12:14 door Anoniem
Nou, lanceert....volgens de WHOIS informatie is deze website al sinds 2015 in de lucht.
En wie mij niet gelooft kan het zelf effe checken: http://whois.domaintools.com/badssl.com
20-03-2017, 12:17 door Anoniem
Het is niet helemaal duidelijk wat nu hoe getest wordt.

Als ik bijvoorbeeld naar het eerste rode resultaat ga:
Expired: Als ik hierop klik, kom ik op expired.badssl.com. Tenminste, dat wil de browser, maar hij stopt omdat het certificaat is verlopen. Dat wordt netjes gemeld:
expired.badssl.com gebruikt een ongeldig beveiligingscertificaat. Het certificaat is verlopen op maandag 13 april 2015 01:59. De huidige tijd is maandag 20 maart 2017 12:16.

Dan zou ik verwachten dat de browser hier een groen resultaat oplevert, omdat hij reageert zoals een goede browser zou moeten reageren.

Peter
20-03-2017, 12:44 door Anoniem
Bestond deze website niet 2 jaar geleden ook al?
Waarom word dann nu vermeld dat Google het 'lanceert'?
20-03-2017, 12:54 door Anoniem
Beste redactie,

BadSSL.com bestaat als ruim twee jaar, de eerste commit werd gedaan op 8 april 2015 waarmee badssl.com gelanceerd werd.
Verder prima initiatief omdat je o.a. kunt testen of je PC verlopen of ingetrokken certificaten ondersteund o.a. het gewraakte Lenovo Superfish certificaat.
20-03-2017, 13:18 door Erik van Straten
In elk geval wordt in het plaatje in https://www.security.nl/posting/447215/Chrome+verwijdert+slot-icoon+voor+HTTPS-sites+met+'foutjes' (14 oktober 2015, 12:38 door Redactie) reeds verwezen naar badssl.com.
20-03-2017, 13:46 door Anoniem
Ach wat, Qualys SSL Labs is er en die voldoet!
20-03-2017, 13:54 door Erik van Straten - Bijgewerkt: 20-03-2017, 14:02
20-03-2017, 12:17 door Anoniem: [...]
expired.badssl.com gebruikt een ongeldig beveiligingscertificaat. Het certificaat is verlopen op maandag 13 april 2015 01:59. De huidige tijd is maandag 20 maart 2017 12:16.

Dan zou ik verwachten dat de browser hier een groen resultaat oplevert, omdat hij reageert zoals een goede browser zou moeten reageren.

Peter
Dat kan niet, want de browser haalt geheel geen content op bij een certificaatmelding.

Als je https://badssl.com/dashboard/ opent (een link daarvoor staat ook op de main page) krijg je in 1 keer een overzicht met wat er goed gaat en wat niet (dh1024 wordt nog door verschillende browsers geaccepteerd, maar echt veilig is dat niet meer).

Aanvulling: voor de status van Firefox zie https://bugzilla.mozilla.org/show_bug.cgi?id=1227519
20-03-2017, 13:55 door Anoniem
Door Anoniem: Ach wat, Qualys SSL Labs is er en die voldoet!

Dit is een heel ander soort (client) test waar je browsers tegen kunt testen met allerlei verkeerde settings. Wel degelijk nuttig.
20-03-2017, 14:46 door [Account Verwijderd]
[Verwijderd]
20-03-2017, 17:47 door Anoniem
Gelet op https://github.com/chromium/badssl.com lijkt er wel iets geüpdated op badssl.com

Door Rinjani: Ik stel een crowdfundingsactie voor genaamd: "(meer) koffie voor de (soms beetje overbelaste) redactie".
Cookie erbij? ;-)
20-03-2017, 22:52 door Anoniem
Deze twee online scanners ook meegenomen voor het overzicht?

https://www.howsmyssl.com/

&

https://geekflare.com/ssl-test-certificate/
(met 10 online tools om SSL te testen hieronder)
https://geekflare.com/ssl-test-certificate/#1-Symantec
https://www.wormly.com/test_ssl
https://geekflare.com/ssl-test-certificate/#3-DigiCert
https://geekflare.com/ssl-test-certificate/#4-SSL-Shopper
https://geekflare.com/ssl-test-certificate/#6-Qualys
https://geekflare.com/ssl-test-certificate/#7-Free-SSL-Server-Test
https://geekflare.com/ssl-test-certificate/#8-COMODO
https://geekflare.com/ssl-test-certificate/#9-SSL-Checker
https://geekflare.com/ssl-test-certificate/#10-HowsMySSL

Men heeft er ook links om te testen op Poodle, Freak en Logjam
en sommige SSL scanners testen ook op DROWn.

luntrus
21-03-2017, 09:03 door [Account Verwijderd]
[Verwijderd]
21-03-2017, 15:10 door Anoniem
Doet SSL labs dat al niet tijden?

https://www.ssllabs.com/ssltest/viewMyClient.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.