Qualys, de leverancier van oplossingen voor on-demand IT security risk en compliance management, lanceert vandaag de gratis online SSL-test op Qualys SSL Labs, een site die is gericht op het bieden van hulpmiddelen om met succes SSL te gebruiken voor het beveiligen van websites en online transacties. De gratis online SSL-test onderzoekt de SSL-certificaten van een website om te waarborgen dat de site vertrouwd is en dat zij dient als een veilige basis voor communicatie over het internet. Samen met deze lancering wordt op Black Hat USA 2010 wereldwijd onderzoek gepresenteerd dat het afgelopen jaar is uitgevoerd naar ongeveer 120 miljoen geregistreerde domeinen die samen meer dan 800.000 SSL certificaten gebruiken.
SSL is een security protocol dat websites beschermt door het mogelijk te maken om gevoelige informatie tijdens online transacties te versleutelen. Ook al is het als protocol beslist waardevol, toch kunnen implementaties met issues gepaard gaan, waaronder problemen met de configuratie en validering van certificaten, hetgeen SSL nutteloos maakt en de veiligheid op internet in gevaar brengt. Qualys SSL Labs en de nieuwe online SSL-test helpen elke gebruiker, technisch onderlegd of niet, om hun SSL-implementaties te evalueren teneinde beter gebruik te maken van SSL om hun sites te beschermen tegen mogelijke aanvallen.
"SSL is een succesvol protocol dat fungeert als de security ruggengraat van het internet. Maar de meeste sites hebben het eenvoudigweg niet goed geconfigureerd," zegt Ivan Ristic, director of engineering bij Qualys en de schepper van SSL Labs. "Qualys SSL Labs is een niet-commercieel researchinitiatief dat zich concentreert op het opdoen van kennis over hoe SSL wordt gebruikt in een poging om het te verbeteren en om gebruikers te helpen het goed te configureren en te gebruiken."
De nieuwe gratis online test laat een gebruiker de SSL certificate chain van een website testen om zich ervan te verzekeren dat de site betrouwbaar is en fungeert als een veilige basis voor communicatie over het internet. De test voert ook een complete analyse uit van de configuratie om zwakke plekken in de configuratie en performance issues op te sporen. Gebruikers geven eenvoudigweg de domeinnaam van de website in, en de test bekijkt elke server binnen het domein. De testresultaten bevatten numerieke scores, waarmee de SSL-server op basis van diverse categorieën wordt gerankt, en een letterscore die de kwaliteit van de SSL-configuratie weergeeft.
Aan het slot van de test worden de definitieve numerieke score tussen 0 en 100 en een letter gegenereerd die de kwaliteit weergeven van de SSL-implementatie op de onderzochte website.
"Het is ons doel bij SSL Labs om de discussie te openen over de zelden genoemde aspecten van SSL, het correcte gebruik ervan te stimuleren en over het algemeen iedereen te inspireren een steentje bij te dragen aan het verbeteren van de veiligheid op internet," aldus Ristic.
Highlights uit het onderzoek die op Black Hat USA in detail zullen worden besproken, omvatten onder meer:
- – Slechts een piepklein aantal sites gebruikt SSL
- – Slechts 70% van de certificaten is geldig
- – De helft van alle sites ondersteunt het onveilige SSLv2 protocol
- – Ongeveer 38% van de SSL-sites is goed geconfigureerd; 62% niet
- – Ongeveer 32% van de sites heeft nog steeds last van de renegotiation vulnerability
Beschikbaarheid
Ivan Ristic zal de nieuw online SSL tool en de onderzoeksresultaten introduceren tijdens Black Hat USA 2010 op 29 juli om 10am PDT.
Ga voor meer informatie over SSL en om de nieuwe gratis SSL testing tool te gebruiken naar https://www.ssllabs.com/. Discussiëren met andere gebruikers over en feedback geven op de SSL-test kan in de Qualys Community op: http://community.qualys.com/community/ssllabs.
