Bedienungsanleitung - A-SIT SSL Tools

1. Allgemeines

Mit Hilfe dieser Software ist es möglich, Internetserver und Browser auf ihre SSL Fähigkeiten zu prüfen und sie in verschiedene Sicherheitsstufen zu kategorisieren. Es wird dabei in folgende Stufen unterteilt:

Serverüberprüfung:

  • SSL Stufe I: SSL/TLS, aber keine schwachen Ciphersuites dürfen angeboten werden (< 100 Bit Schlüssellänge). Zusätzlich muss e-Government Object ID im Serverzertifikat vorhanden sein
  • SSL Stufe II: zusätzlich zur TLS-Verbindung wird die Identifikation über die so genannten Module für Online Applikationen - ID MOA-ID gefordert
  • SSL Stufe III: über die Forderungen von Stufe 1 und 2 hinaus werden Schutzmaßnahmen vor kompromittierenden Endgeräten gefordert - etwa der Einsatz von Hardware Security Modulen.

Clientüberprüfung:

  • SSL Stufe I: SSL/TLS verschlüsselt - auch schwache Ciphersuites können vorhanden sein. Jedoch muss mindestens 1 starke Ciphersuite (mit < 100Bit Schlüssellänge) unterstützt werden.
  • SSL Stufe II und III: siehe oben Für nähere Informationen zur Klassifizierung sei auf das SSL/TLS-Strategiepapier verwiesen.

2. Anforderungen

Die Software benötigt zum korrekten Funktionieren folgende Programme:

  • Java Runtime Environment (oder SDK) Version <= 1.4.0
  • konfigurierter Tomcat Servlet Container Version <= 3.2 (optional)

Der Tomcat Container ist nur erforderlich, wenn die Tools als Servlets gestartet werden sollen. Sie sind aber auch standalone lauffähig.

Für das eigentliche Arbeiten wird noch ein javascript und SSL fähiger Internet Browser benötigt, empfohlen werden dabei:

  • Mozilla (ab Version 1.0)
  • oder Internet Explorer Version <= 5

3. Ausführen

3.1. Ausführen als Standalone

Gestartet wird das Programm:

  • nter UNIX: mit ./start.sh
  • unter Windows: mit der Datei start.bat

Die Startdatei muß eventuell vor dem ersten Start editiert werden, um die Variable JAVA_HOME richtig zu setzen werden. Ist diese Variable bereits systemweit gesetzt, so kann dieser Schritt entfallen.

3.2. Ausführen als Servlet

Das Servlet Verzeichnis ist vor dem ersten Start in das Tomcat Webapps Verzeichnis zu kopieren. Möglicherweise müssen in der web.xml Datei noch die Verzeichnispfade angepasst werden, es wird also empfohlen, auch diese Datei zu editieren. Die Servlets werden automatisch beim Start des Tomcat Servlet Containers initialisiert.

4. Arbeiten mit den Tools

4.1. Client SSL Tool

Die Fähigkeiten eines Internetbrowser lassen sich leicht überprüfen, indem mit ihm folgende URL aufgerufen wird:

Clientüberprüfung:

Falls die SSL Tools nicht am selben Rechner laufen, so ist localhost durch den jeweiligen Internetnamen / IP-Adresse zu ersetzen. Nach kurzer Zeit wird angegeben, welche SSL Protokolle, Ciphersuites, Cipher und Schlüsselaustausch Algorithmen unterstützt werden. Zusätzlich werden eventuell vorhandene Client Zertifikate angezeigt. Nach dieser Auflistung erscheint auch ein Popup Fenster, das die SSL Fähigkeiten klassifiziert und die wichtigsten Gründe für die Einteilung anführt.

4.2. Server SSL Tool

Die Fähigkeiten eines Internetservers lassen sich leicht überprüfen, indem im Internet Browser folgende URL aufgerufen wird:

Serverüberprüfung:

Falls die SSL Tools nicht am selben Rechner laufen, so ist localhost durch den jeweiligen Internetnamen / IP-Adresse zu ersetzen. Unter der Adresse erhält man einen Eingabedialog, in dem der Internetname des zu prüfenden Servers einzugeben ist. Bekannte Server können direkt über einen Link getestet werden. Nach der Eingabe des Namens wird nach kurzer Zeit angegeben, welche SSL Protokolle, Ciphersuites, Cipher und Schlüsselaustausch Algorithmen unterstützt werden. Zusätzlich werden die vorhandene Server Zertifikate bzw. die Zertifikatskette angezeigt. Nach dieser Auflistung erscheint auch ein Popup Fenster, das die SSL Fähigkeiten klassifiziert und die wichtigsten Gründe für die Einteilung anführt.