V článku mi chybí lepší vysvětlení, jak se bodovala konfigurace SSL/TLS. Například mám dojem, že bodové hodnocení snižuje fakt, že server umožňuje použít slabší algoritmus, ačkoliv při vyjednávání algoritmu s klientem je obvykle zvolen jiný, silnější.
Zajímalo by mě, proč I.CA není v seznamech kořenových certifikačních autorit, když je to česká kvalifikovaná certifikační autorita a její certifikáty mají u nás úřední platnost.
Kriteria jsou z pohledu aktivniho MITM utocnika (ktery umi menit traffic). Protoze utocnik muze „vyjednat“ nejslabsi protokol nebo ciphersuite dovolen serverem (i klientem), bude si vybirat nejslabsi, ktery by umel prolomit. Tady dostavaji nizke hodnoceni ciphersuites se slabym klicem nebo anonymni key exchange (kde nedochazi k autentizaci, neochrani pred aktivnim utocnikem).
Plnou metodika jiz tady nekdo zminoval: https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009.pdf
BTW celkem pekny addon k Firefoxu je Perspectives (http://www.cs.cmu.edu/~perspectives/firefox.html), ktery slouzi k „overeni“ napr. self-signed certifikatu. Overeni v uvozovkach proto, ze overuje ze SSL certifikat nejakeho stroje je viditelny z ruznych mist internetu stejne jinymi stroji (tzv. notaries). Tudiz kdyz se neco lisi, tak je spatne (jasny znak aktivniho MITM); ovsem neplati nutne, ze kdyz jsou stejne, pak je vsechno v poradku.
Díky. Přehlédl jsem, že průměrují nejsilnější a nejslabší algoritmus. To co říkáte je pravda, ale to kritérium se mi stejně nelíbí. V klientovi právě bývají ty největší hrůzy zakázány, takže k jejich použití nedojde. Samozřejmě byla by stejná (nebo i větší chyba) hodnotit jen ten nejsilnější. Současné kritérium sice pěkně ukazuje, jak pečlivě se v bance věnovali nastavení SSL/TLS, ale nedá se z něho vyčíst bezpečnost vašeho spojení.
Perspectives používám. Kromě toho, co popisujete, to sleduje, jak dlouho se certifikát nezměnil, což umožňuje upozornit i na situace, kdy útočník sedí mezi serverem a internetem.
Jj, mate pravdu, kriteria jsou ad hoc, nicmene at by si zvolili libovolne bodove ohodnoceni, tak to proste „jednorozmerne“ nelze vyjadrit. Velke podstatne plus pro fakt ze maji pristupnou metodiku – muze se to zdat jako samozrejmost; nehlede na to mnoho „vyzkumu“ je bez zmysluplne metodiky (vysledky bez metodiky me zvedaji ze zidle)
Popis bodování je tam někde v PDF. A třeba když web při použití slabé šifry spojení neodstřelí, ale přesměruje uživatele na nějakou infostránku, tak to tento autotest vyhodnotí jak? Obávám se, že jako podporu slabé šifry a tedy body dolu, čili je to celé šaškárna.
