it-swarm.com.de

Gibt es eine Möglichkeit zu beweisen, dass HTTPS die Kommunikation mit meiner Site verschlüsselt?

Ich arbeite für ein Unternehmen, das sich mit der Entwicklung von Webanwendungen befasst, und bin der "Sicherheitsexperte". Ich habe kürzlich HTTPS in einer Anwendung mit Let's Encrypt implementiert, und mein Chef bittet mich zu beweisen, dass HTTPS die Informationen wirklich verschlüsselt.

Wie kann ich das machen?

46
NTHINGs

Mein Chef bittet mich zu beweisen, dass HTTPS die Informationen wirklich verschlüsselt. Wie kann ich das machen?

Grundsätzlich können Sie einen Paketinspektor oder einen einfachen Portweiterleitungs-Proxy verwenden. Vielleicht wird Wireshark die Pakete leicht genug inspizieren.

Sie sollten schnell feststellen können, dass es sich bei dem HTTP-Verkehr um einfachen Text handelt, während es sich bei HTTPS um binären Kauderwelsch handelt. (mit Ausnahme des Hostnamens)

Dies beweist jedoch nur, dass die Verbindung verschleiert ist. Es beweist keine Verschlüsselung oder Sicherheit. Insbesondere zeigt es keine Immunität gegen MiTM.

Glücklicherweise erledigt der Browser dies alles für Sie. Wenn ein moderner Browser versucht, eine Verbindung zu einer HTTPS-Webseite herzustellen, wird Folgendes überprüft:

  • Stark genug Hash-Algorithmen für die beteiligten Zertifikate.
  • Stark genug Verschlüsselungsalgorithmen. (d. h. es ist tatsächlich verschlüsselt)
  • Von vertrauenswürdigen Zertifizierungsstellen ausgestellte Zertifikatskette (d. H. Zertifizierungsstelle, die den Domänenbesitz vor der Ausstellung ihrer Zertifikate überprüft)
  • Nichtablauf der Zertifikate.
  • Übereinstimmende Hash-Werte bedeuten, dass kein MiTM vorhanden ist.

Während Ihr Chef gerne den Wireshark-Kauderwelsch beim Vergleich von HTTP mit HTTPS sehen möchte, besteht ein stärkerer Test darin, die HTTPS-Site ganz einfach mit einem modernen Browser zu besuchen.

Stellen Sie sicher, dass der Browser nicht vorkonfiguriert wurde, um die Warnung zu ignorieren. (d. h. Test von mehreren Computern und Smartphones)

Wenn Sie vorhaben, HTTPS dauerhaft fortzusetzen (was Sie sollten), ist eine kluge Vorsichtsmaßnahme mleitung aller HTTP-Besuche auf die HTTPS-Site erzwingen , da Sie nicht garantieren können, dass alle Besucher das https:// Präfix beim Besuch Ihrer Website.

63
Bryan Field

Dies sind wenige Möglichkeiten (nicht umfassend), um zu beweisen, dass Ihre Anwendung Informationen verschlüsseln:

  1. SSL Labs verfügt über eine Webanwendung zum Testen der SSL-Implementierung Ihrer Webanwendung

[~ # ~] oder [~ # ~]

  1. In Ihrem Webbrowser wird auf mit HTTPS gesicherten Websites ein grünes Schloss neben der URL angezeigt: a picture that shows the green lock icon next to the URL for google.ca

Wenn Sie weitere Details benötigen oder besser nachweisen möchten, dass Ihr Zertifikat anders als die grüne Sperre funktioniert, klicken Sie auf diese Sperre, zeigen Sie Details an, und in diesem Beispiel wird Folgendes angezeigt (in Chrome) ):

(details that describe the certificate is encrypting your connection and working properly

Auf diese Weise erhalten Sie alle kleinen Details, die Sie benötigen, um zu überprüfen, ob Ihr Zertifikat wie erwartet funktioniert.

[~ # ~] oder [~ # ~]

  1. Starten Sie Wireshark oder einen Paket-Sniffer/Analysator Ihrer Wahl und dann einige Daten ausführen über Ihre Anwendung, die verschlüsselt werden soll (anmelden, senden) ein Formular etc ...). Suchen Sie das Paket, folgen Sie dem TCP-Stream und stellen Sie sicher, dass in Klartext ​​nichts übertragen wird.
38
INV3NT3D

SSLlabs ist ein großartiges Tool zum Analysieren einer HTTPS-Website. Aber....

  • Es beweist nicht, dass Sie die Nicht-SSL-Teile der Site geschlossen haben
  • Ich habe den Eindruck, dass Ihr Chef nicht versteht, was er Ihnen über Ihre Website erzählt
  • Aus Ihren Kommentaren zu Wireshark geht hervor, dass Sie ein wenig Schwierigkeiten haben zu verstehen, was selbst vor sich geht

Sie sagen, dass Sie aufgefordert wurden zu beweisen, dass "HTTPS die Informationen wirklich verschlüsselt". Vielleicht hat jemand seine Worte schlecht gewählt, aber Sie sagen, Sie werden gebeten zu beweisen, dass die Technologie, auf die sich die Welt stützt, um den E-Commerce zu sichern, ihre grundlegendsten Anforderungen wirklich umsetzt. Ich denke, jemand hätte es inzwischen bemerkt, wenn es nicht so wäre.

(Ich sollte darauf hinweisen, dass es technisch möglich ist, https so zu konfigurieren, dass bei einigen Clients und Servern eine Null-Chiffre verwendet wird, aber es ist extrem schwierig, dies zu tun Design. Sie konnten es nicht versehentlich tun)

Angenommen, Ihr Chef hat das nicht wirklich gemeint, werden Sie gebeten, ihn davon zu überzeugen, dass die von Ihnen geleistete Arbeit gültig ist. Die meisten Browser werden zeigen Ihnen die Verschlüsselungsalgorithmen verwendet, um auf eine Site zuzugreifen.

Wenn Ihr Chef etwas anderes/mehr will, wissen wir nicht, was ihn überzeugen wird. Sie müssen ihn nach einer spezifischeren Anforderung fragen und Einzelheiten darüber, was er/sie als akzeptablen Beweis betrachten würde.

15
symcbean

Vertrag mit einem professionellen IT-Sicherheitsexperten und Kryptografieexperten mit einem guten Ruf. Ermöglichen Sie ihnen, den Datenverkehr in Ihrem Netzwerk zu erfassen, und bitten Sie sie, herauszufinden, welche Nachrichten an und von der Site gesendet werden.

Wenn sie fehlschlagen, haben Sie festgestellt, dass der Datenverkehr effektiv verschlüsselt ist. Natürlich ist dies wahrscheinlich nicht billig.

2
bdsl

Wenn Sie in Firefox auf das Schlosssymbol klicken und auf Weitere Informationen klicken, wird Folgendes angezeigt:

Connection encrypted with TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 256 bit keys

Was eindeutig besagt, dass die Verbindung verschlüsselt ist und welche Protokolle verwendet wurden.

1
Luc