TLS/SSL-Validierung

8 Tests verifizieren TLS-Versionen und Cipher-Suite-Validierung (BSI IT-Grundschutz APP.3.2.A11).

Konfiguration

TLS-Einstellungen in policy.yaml:

# policy.yaml
tls:
  min_version: "1.2"        # Minimum TLS-Version
  preferred_version: "1.3"   # Bevorzugte Version
  ciphers_tls13:
    - "TLS_AES_256_GCM_SHA384"
    - "TLS_CHACHA20_POLY1305_SHA256"
  ciphers_tls12:
    - "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"

TLS-001PASS

TLS 1.3 Verbindung

Testbefehl

openssl s_client -connect example.com:443 -tls1_3

TLS 1.3 Verbindungen werden bevorzugt. Sie bieten verbesserte Sicherheit mit einfacherem Handshake und Forward Secrecy standardmäßig.

TLS-002PASS

TLS 1.2 mit modernem Cipher

Testbefehl

openssl s_client -connect example.com:443 -tls1_2 -cipher ECDHE-RSA-AES256-GCM-SHA384

TLS 1.2 wird für Kompatibilität akzeptiert, aber nur mit modernen AEAD-Cipher-Suites.

TLS-005BLOCKIERT

TLS 1.1 abgelehnt

Testbefehl

openssl s_client -connect example.com:443 -tls1_1

TLS 1.1 ist veraltet (RFC 8996) und wird abgelehnt. Bekannte Schwachstellen: BEAST, fehlende AEAD-Cipher-Unterstützung.

TLS-006BLOCKIERT

TLS 1.0 abgelehnt

TLS 1.0 ist veraltet (RFC 8996) und wird abgelehnt. Bekannte Schwachstellen: POODLE, BEAST, veraltete Kryptografie.

TLS-007BLOCKIERT

SSL 3.0 abgelehnt

SSL 3.0 ist vollständig deaktiviert. Anfällig für POODLE-Angriffe und zahlreiche andere Sicherheitslücken.