Otestujte šifrovací schopnosti svého prohlížeče a systému

14. 10. 2013 | Jindřich Zechmeister

Při každém vstupu na stránky zabezpečené protokolem HTTPS se musí váš prohlížeč a server domluvit na tom, jak budou komunikaci šifrovat. To je ovlivněno nastavením serveru, ale také vlastnostmi prohlížeče. Víte, jak je na tom váš prohlížeč a jaké metody šifrování podporuje?

Protokoly, šifry, algoritmy

V současnosti můžete s webovým serverem komunikovat pěti používanými protokoly. Nejpoužívanější jsou dnes SSL v3 a TLS 1.0, ale staré SSL v3 již není považováno za zcela bezpečné. V použití TLS 1.0 nejsou velké bezpečnostní rizika, novější protokoly TLS jsou však bezpečnější, protože jejich zranitelnosti nejsou známy.

Zastaralý a z pohledu bezpečnosti nedostačující protokol SSL v2 používá stále mnoho serverů. Pokud na vašem PC podporujete tento protokol, doporučuji ho již přestat používat. Jako nejstarší SSL protokol odborníci doporučují použít SSL v3, lépe TLS 1.0.

Novější protokol TLS, který SSL v3 nahradil, je nyní dostupný ve třech verzích. Nejnovější TLS 1.2 donedávna podporoval pouze Internet Explorer 10 (11), to se však již změnilo. Firefox ho v defaultním stavu nepoužívá; jak ho zapnout však najdete níže.

Z pohledu kompatibility internetových serverů je jistotou nejčastěji používaný protokol TLS 1.0, u kterého jsou sice známy bezpečnostní slabiny, ale jeho použití není rizikové a podporuje ho většina prohlížečů. Analýzou použitých protokolů a technologií na straně serverů se Qualys zabývá ve statistice SSL Pulse; najdete v ní výsledky z více než 160 tisíc webových serverů. Výsledky nejsou vždy zcela uspokojivé, o čemž jsme informovali v článku Dle analýzy nemá 86 % webů s SSL certifikátem dokonalé zabezpečení.

Kompletní analýza schopností prohlížeče

Odborníci z Qualys se věnují analýze použití SSL certifikátů a provozují známý ověřovač SSL certifikátu, který otestuje váš server a zjistí případné nedostatky jeho nasazení.

Nedávno Qualys zveřejnil nový ověřovač SSL schopností prohlížeče, který testuje SSL/HTTPS z pohledu návštěvníka. Test vám dokáže prozradit, jaké protokoly váš prohlížeč podporuje a jaké je schopen použít.

Test prohlížeče otestuje i podporu Server Name Indication (SNI), která umožňuje použití více SSL certifikátů na jedné IP adrese. Na straně serverů je podporována jak Apache, tak i v poslední verzi IIS 8 (o novinkách v IIS 8 pojednává samostatný článek). SNI podporují všechny současné prohlížeče, krom Internet Exploreru na systému Windows XP.

Další důležitou informací je podpora hashovacího algoritmu SHA-2 v podpisu certifikátu, který se začíná prosazovat a naše certifikáty ho plně podporují. Hašovací funkce SHA-2 není podporovaná systémem Windows XP SP 2. Podpora hašovacích algoritmů SHA-2 (krom SHA-224) byla přidána v balíku SP3.

V následující tabulce najdete přehled kompatibility současných i starších prohlížečů. Informace jsou důležité i pro administrátory serverů a bezpečnostní manažery, kteří určují míru použitého zabezpečení.

ProhlížečSSL 2SSL 3TLS 1.0TLS 1.1TLS 1.2SNISHA-2Pozn.
IE 6 Ano Ano Ne* Ne Ne Ne Ne  
IE 7 Ne Ano Ano Ne+ Ne+ XP NE, jinak ANO Ano (XP SP3 a vyšší)  
IE 8 Ne Ano Ano Ne*+ Ne*+ XP NE, jinak ANO Ano  Win XP a Vista NE, Win 7 ANO*
IE 9 Ne Ano Ano Ne*+ Ne*+
Ano Ano  Win XP a Vista NE, Win 7 ANO*
IE 10 Ne Ano Ano Ne* Ne* Ano Ano Win 7 a 8
IE 11 Ne Ano Ano Ano Ano Ano Ano Win 7 a 8
Firefox Ne Ano Ano Ne* Ne* Ano Ano  
Chrome Ne Ano Ano Ano Ano Ano Ano (Vista a vyšší)  

Srovnání podpory algoritmů dle verze prohlížeče. Zdroj: Wikipedia.com, autor

Pozn: * Podporuje, ale ve výchozím stavu vypnuto, + Windows XP a Vista nepodporují 

Jak nastavit podporu protokolů v systému

Chcete-li surfovat bezpečně a mít používané šifrovací protokoly pod kontrolou, doporučuji spravovat jejich použití na úrovní systému. K tomu poslouží bezplatný program Harden SSL/TLS (beta) známého odborníka Thierry Zollera. Program umožňuje ve vašem systému (Desktop i server) povolit či zakázat konkrétní protokol či šifrovací algoritmus. V nástrojích vytvořených Thierry Zollerem najdete i program SSL Audit (alpha), který testuje podporu technologií konkrétního serveru.

Program HardenSSL

Snímek z programu Harden SSL 

Prohlížeče Firefox a Chrome používají bezpečnostní knihovny Network Security Services (NSS). Knihovny NSS podporují TLS 1.2 od verze NSS 3.15.1. Pokud používáte linux, můžete si zkontrolovat, zdali máte aktuální verzi NSS a zdali může Chrome TLS 1.2 používat. Například v Ubuntu v tuto chvíli aktuální verze není (pravděpodobně bude ve verzi 13.10).

Od Firefoxu verze 25 je možné zapnout protokol TLS 1.2 (a 1.1). Můžete tak učinit ve známé stránce nastavení about:config, kde nastavíte parametr security.tls.version.max na hodnotu 3.

Firefox nyní podporuje TLS 1.2

Firefox se zapnutou podporou TLS 1.2

Po úpravě nastavení bude i váš Firefox používat nejmodernější šifrovací protokol, jak ukazuje provedený test. Internet Explorer a Chrome není potřeba nastavovat, podporují nejnovější verzi protokolu TLS. Je však vhodné zvážit zakázání podpory SSL v3, což umožňují oba prohlížeče.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz