IT-säkerhetsföretaget Qualys som utför sårbarhetsskanningar bl.a över Internet har nu köpt upp Ivan Ristićs projekt SSL Labs. SSL Labs har ett antal intressanta projekt bl.a. ett online-analysverktyg där det går att testa huruvida SSL är rätt konfigurerat eller ej. Vi utförde ett snabbt test och tittade hur det såg ut med SSL-konfigurationen hos de tre största bankerna SwedBank, Nordea samt SEB:
Swedbank
Rapporten för Swedbank:s SSL-sida https://internetbank.swedbank.se hittas här.
SwedBank fick ett betyg på 88 av 100 vilket är godkänt. Krypteringsalgoritmer som SwedBank stödjer:
Cipher Suites |
TLS_RSA_WITH_RC4_128_MD5 (0x4) |
128 |
TLS_RSA_WITH_RC4_128_SHA (0x5) |
128 |
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) |
128 |
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) |
168 |
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) |
256 |
Nordea
Tittar vi på Nordea så ser det lite sämre ut där poängen 76 uppnås med ett icke godkänt. Detta pga att SSL renegotiation tillåts. Se rapporten här. Och de algoritmer som tillåts kan man fundera lite över:
Cipher Suites |
TLS_RSA_WITH_DES_CBC_SHA (0x9) WEAK |
56 |
TLS_RSA_WITH_RC4_128_MD5 (0x4) |
128 |
TLS_RSA_WITH_RC4_128_SHA (0x5) |
128 |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA (0xc004) |
128 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) |
128 |
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) |
168 |
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA (0xc005) |
256 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) |
256 |
SEB
SEB hamnade på andraplats med sina 85 poäng snäppet efter SwedBank eftersom de stödjer SSL renegotiation, de blev dock ändå godkända. Rapporten för SEB finns här.
TLS_RSA_WITH_RC4_128_MD5 (0x4) |
128 |
TLS_RSA_WITH_RC4_128_SHA (0x5) |
128 |
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) |
128 |
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) |
168 |
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) |
256 |
Hur ser det ut på ditt företag/organisation? Testa!