Endpunktdetails

Endpunkt hinzufügen

Klicken Sie auf 'Endpunkt hinzufügen'.
Geben Sie als Ziel die zu überwachende URL oder IP-Adresse ein.
Vergeben Sie eine Beschreibung und Tags.
Bestätigen Sie, dass Sie berechtigt sind, den Endpunkt zu analysieren.
Definieren Sie, was mit Enginsight überwacht werden soll. Aktivieren Sie zu Beginn am Besten alle Features.
Wählen Sie mindestens einen Observer, der Observer die Überwachung durchführen soll. Haben Sie als On-Premises-Kunde noch keinen Observer hinzugefügt, installieren Sie einen Observer. In der SaaS-Plattform können Sie auch auf zwei bereitgestellte Observer zurückgreifen (Deutschland, USA).
Fügen Sie den Endpunkt hinzu.

Ein dauerhaftes Monitoring des Observers kann nur gewährleistet werden, wenn die IP-Adressen, von denen aus die Überwachung stattfindet nicht durch Firewall-Regeln blockiert werden. Schalten Sie die folgenden IP-Adressen ggf. frei, wenn Sie die auf der SaaS-Plattform bereitgestellten Observer nutzen:

164.90.185.111 164.90.231.250 142.93.119.55 142.93.119.52 138.68.93.235 138.68.71.130 139.59.155.98

Optional können Sie alle A-Records von dieser Domain erlauben: observers.enginsight.com

Übersicht

Hier finden Sie eine Auflistung all Ihrer Endpunkte, inklusive aktuellem Risikoscore und zugehörigem Schweregrad.

Mit Klick auf einen Endpunkt gelangen Sie in die ausführliche Detailansicht.

Dashboard

Mehrere Fenster geben Ihnen schnell Aufschlüsse über den Sicherheitszustand Ihres Endpunktes.

Was sich jeweils hinter den Kacheln verbirgt, erfahren Sie im Folgenden:

Der Risikoscore berechnet sich über die Kritikalitäten des Common Vulnerability Scoring System (Critical: 100; High: 50; Medium: 10; Low: 1) und der Anzahl vorliegender CVEs. Die Risikobewertung ermöglicht es Ihnen Endpunkte anhand Ihres vorliegenden Risikos zu priorisieren. Detailliertere Informationen erhalten Sie unter Assessments.

Assessment

Die Ansicht ermöglicht Ihnen die Suche nach durchgeführten Checks. Erfassen Sie schnell die vorliegende Kritikalität einzelner Checks, sowie deren zugehörige Kategorie, das entsprechende Modul und den erfassten Risikoscore.

Nutzen Sie die obere Suchzeile oder aber die Filter auf der linken Seite, um sich entsprechende Ergebnisse ausgeben zu lassen. Klicken Sie in der linken Filterleiste auf eine Oberkategorie, um alle Ausprägungen zu markieren oder wählen Sie die gewünschten Filter separat aus der Liste aus.

Sicherheitslücken

Erhalten Sie eine Übersicht vorliegender Vulnerabilitäten.

Am Anfang des Eintrags finden Sie eine Einordnung des Schweregrades. Weiter finden Sie den offiziellen CVSS-Score (Common Vulnerability Scoring System) der vorliegenden CVE (Common Vulnerable Exposure) sowie die zugehörige Software.

Sicherheitslücken appeasen

Nutzen Sie die Multiedit Funktion, um mehrere Einträge mit nur einem Klick zu appeasen. Weiterhin können Sie im Overlay auswählen, ob die spezifischen CVEs ausgewählt werden sollen oder aber alle zugehörigen der folgenden Common Plattform Enumeration.

Ausnahmebehandlung hinzufügen

Markieren Sie einzelne Sicherheitslücken und klicken Sie anschließend auf "Ausnahmebehandlung", im oberen rechten Bildrand. Anschließend öffnet sich das Overlay.
Wählen Sie die Kategorie: "Unterdrücken".
Geben Sie bei Bedarf ein Kommentar ein, welches anschließend an alle ausgewählten und dem Typ entsprechenden Sicherheitslücken angehangen wird.
Unter "Scope" ist nun die "Allgemeine Ausnahmebehandlung" per Default gewählt.
Geben Sie anschließend die entsprechenden Werte unter "Hersteller", "Produkt" und "Version" ein. Diese Informationen können Sie ganz leicht aus den CVSS Vector Strings kopieren und an der richtigen Stelle einfügen.

Bestätigen Sie Ihre Eingabe durch Klick auf: "Unterdrücken".

Unterdrücken

Markieren Sie einzelne Sicherheitslücken und klicken Sie anschließend auf "Unterdrücken", im oberen rechten Bildrand. Anschließend öffnet sich das folgende Overlay:

Geben Sie bei Bedarf ein Kommentar ein, welches anschließend an die gewählten Sicherheitslücken angehangen wird.
Wählen Sie die Kategorie: "Spezifische CVEs". Darunter finden Sie alle zuvor ausgewählten CVEs aufgelistet.
Bestätigen Sie Ihre Eingabe durch Klick auf: "Unterdrücken".

Einstellungen

Unter Einstellungen finden Sie den Endpunkt, hier können Sie diesem eine Beschreibung hinzufügen. Weiterhin erhalten Sie eine Übersicht zugeordneter Tags oder können diese bei Bedarf ergänzen. Der Bereich "Regionen" bietet Ihnen Informationen über die Zuordnung des Observers.

Erweiterte Einstellungen

In den erweiterten Einstellungen können Sie die Option "Human Accessibility" aktivieren. Diese Einstellung legt fest, dass Ihre Website nur dann als erreichbar angezeigt wird, wenn sie den HTTP-Statuscode 200 (OK) zurückgibt. Wenn diese Option aktiviert ist, wird die Website als nicht erreichbar angesehen, wenn sie einen anderen Statuscode (z.B. 404, 500) zurückgibt, selbst wenn der Server technisch erreichbar ist. Wenn Sie diese Option nicht aktivieren, wird nur die technische Erreichbarkeit des Servers berücksichtigt, unabhängig vom zurückgegebenen Statuscode.

Verantwortlichkeiten

Wählen Sie einen "Technischen Verantwortlichen" aus, der für die Wartung und den Betrieb des Servers zuständig ist. Diese Person sollte über fundierte technische Kenntnisse verfügen und in der Lage sein, technische Probleme schnell zu lösen.

Zusätzlich sollten Sie einen "Fachlichen Verantwortlichen" aus Ihrer Organisation benennen. Diese Person ist für die inhaltlichen und funktionalen Aspekte des Endpunkts verantwortlich und stellt sicher, dass der Server die geschäftlichen Anforderungen erfüllt.

BSI

Die Ansicht verrät Ihnen welche Checks Ihr Endpunkt nicht besteht und an welchen Stellen Ihre Konfiguration scheitert. Nutzen Sie diese Information, um das Thema Compliance zielgerichtet angehen können. Arbeiten Sie diese Liste gezielt ab und nutzen Sie diese als Nachweis über rechtliche Konformität.

In der Technischen Richtlinie BSI TR-03116-4 gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Vorgaben und Empfehlungen zur sicheren SSL/TLS-Konfiguration. Die Richtline ist ein guter Indikator zur Bewertung der SSL/TLS-Konfiguration. Prüfen Sie die Compliance Ihres Endpunktes.

Website

Erfahren Sie von welcher Region Ihre Website aus überwacht wird und jegliche Details über Verfügbarkeit, Antwortzeit und Offlinezeit. Der Zeitstrahl darunter zeigt Ihnen die Verfügbarkeit über im Verlauf an. Graue Marker stehen für erreichbare Zeiten Ihrer Website, während pinke Maker Ihnen zeigen, zu welchen Zeiten Ihre Website Probleme hatte.

Anwendungen

Nutzen Sie die Übersicht, um alle dem Endpunkt zugehörigen Anwendungen im Blick zu behalten.

Hier finden Sie alle Informationen zur Anwendungsumgebung des Endpunktes, die sich von außen detektieren lässt. Der Observer erstellt ein Footprinting des Endpunktes und untersucht z.B. auf

CMS,
Web Server,
Frameworks oder
Libraries.

Je mehr Informationen ein Endpunkt über die verwendeten Technologien preisgibt, desto mehr Ansatzpunkte bieten sich Hackern, gezielte Attacken auf die Anwendungen zu fahren. Im Idealfall ist ein Endpunkt so konfiguriert und programmiert, dass sich wenig über die technische Basis erfahren lässt.

Alle aufgespürten Anwendungen werden Ihnen in einer übersichtlichen Liste präsentiert. Sie erhalten eine Einschätzung, wie sicherheitskritisch es ist, die Anwendung von außen zu erkennen.

Achten Sie darauf, Ihre Anwendungen möglichst aktuell zu halten, um die Sicherheit Ihrer Systeme zu gewährleisten.

Vor diesem Hintergrund haben wir uns für die folgende Kategorisierung entschieden:

HIGH: Backend-relevante Technologien, die ein hohes Risiko für schwerwiegende Attacken darstellen. z.B. CMS, Wikis, Blogs, Ecommerce, CI, Programming languages, Databases, Runtimes, Operating systems, Message boards, Web server extensions, Hosting panels, Issue trackers
MEDIUM: Technologien mit mittlerem Risikograd. z.B. Webserver, Development, Managed CMS
LOW: Sonstige Technologien z.B. UI Frameworks oder JavaScript Libraries

Falls keine Version erkennbar ist, reduziert sich die Kritikalität. Backend-relevante Technologien erhalten ein Medium-Rating, als Medium kategorisierte Apps ein Low-Rating.

Als Nachweis erfahren Sie, wo der Observer die Anwendung erkannt hat: in einem HTTP-Header, einem Cookie oder im Code der Webseite selbst.

Werden zur detektierten Version bekannte Sicherheitslücken (CVE) festgestellt, sind diese in der Liste angegeben. Alle Sicherheitslücken von Anwendungen sind auch nochmals unter Sicherheitslücken gesondert gelistet.

Domain Name System

Mit dem Domain Name System (DNS) konfigurieren Sie verschiedene Aspekte Ihrer Domain. DNS ist zum Beispiel notwendig, um der Domain die passende IP zuzuordnen. Für den reibungslosen Betrieb der Webseite ist eine ordnungsgemäße Konfiguration notwendig. Überwache Sie Ihre DNS-Einstellungen mit dem Monitoring Ihrer DNS-Records.

Alle DNS-Records erhalten Sie in einer übersichtlichen Liste. Darüber hinaus überprüft Enginsight spezifische, sicherheitsrelevante DNS-Records.

DNS Validierungstests

Um den Missbrauch Ihrer Domain zu verhindern und die SSL/TLS-Verbindung abzusichern, sollten Sie speziell dafür entwickelte DNS-Records einsetzen: CAA, SPF, DMARC. Der Observer überprüft daher gezielt auf diese drei Records.

CAA-Record (Certification Authority Authorization)

Mit einem CAA-Record legt der Domaininhaber fest, welche Certificate Authority Authorization ein SSL/TLS-Zertifikat ausstellen darf. Der Observer prüft auf:

Fehlende Kontaktadresse für DNS CAA Es ist keine Kontaktadresse vergeben (iodef).
Ungültige Kontaktadresse für DNS CAA Die Kontaktadresse (iodef) enthält für E-Mails ungültige Zeichen und/oder ein ungültiges E-Mail-Format (nicht abc@def.com)
Unkonventionelle Zertifizierungsstelle Die verwendete Zertifizierungsstelle (issue, wildissue) befindet sich nicht auf unserer Whitelist. Diese umfasst: letsencrypt.org, globalsign.com, sectigo.com, camerfirma.com, accv.es, actalis.it, amazon.com, pki.apple.com, atos.net, buypass.com, aoc.cat, certigna.fr, www.certinomis.com, ecert.gov.hk, certsign.ro, certum.pl

SPF-Record (Sender Policy Framework)

Das SPF-Protokoll ermöglicht, IP-Adresse zur Versendung von E-Mails mit der Domain zu berechtigen. So kann Dritten untersagt werden, den Domainnamen missbräuchlich zu verwenden. Der Record ist effektiv, um Phishing-Mails mit der Domain zu verhindern. Wir validieren:

Veraltete SPF-Version Check der verwendeten SPF-Version (v), momentan existiert lediglich SPF1.
Mehrere SPF-Einträge vorhanden Nutze niemals mehrere SPF-Einträge. Fasse stattdessen mehrere SPF in einem einzigen Eintrag zusammen.
SPF-Eintrag enthält Zeichen nach ALL Nach dem fakultativen ALL-Eintrag dürfen keine weiteren Einträge folgen.
Fehlerhafte SPF Syntax Der Eintrag enthält unbekannte Einträge (bekannt sind: spf1, mx, ip4, ip6, exists, include, all, a, redirect, exp, ptr) und/oder unerlaubte Zeichen.

DMARC-Record (Domain-based Message Authentication, Reporting and Conformance)

Der DMARC-Record legt ein Vorgehen fest, was unternommen werden soll, wenn die Domain von einer nicht berechtigten IP zum Versenden einer E-Mail verwendet wird. Enginsight checkt:

Ungültige DMARC Policy Die DMARC Policy (p) hat keinen gewöhnlichen Wert. Gewöhnliche Werte sind: none: Das Versenden der E-Mails wird nicht beeinträchtigt. Du erhältst lediglich eine Benachrichtigung. quarantine: E-Mails, welche die DMARC-Überprüfung nicht bestehen, landen beim Empfänger im Spam-Ordner. reject: E-Mail, welche die DMARC-Überprüfung nicht bestehen, sollen vom Empfänger zurückgewiesen werden.
Ungültige DMARC Subdomain Policy Die DMARC Subdomain Policy (sp) hat keinen gewöhnlichen Wert (Werte siehe: DMARC Policy)
Ungültige DMARC prozentuale Filterangabe Mit der optionalen prozentualen Filterangabe (pct) kann festgelegt werden, wieviel Prozent der Nachrichten einer Filterung unterzogen werden. Der Wert muss daher zwischen 1 und 100 liegen.
Ungültige DMARC Adresse für Report-Emails Die Report-E-Mailadresse enthält ungültige Zeichen oder ein ungültiges E-Mail-Format (nicht abc@def.com)
Ungültige DMARC Protokollversion Die Version von DMARC (v) muss DMARC1 lauten.

Alarme: Ungültiger SPF DNS-Record, Ungültiger CAA DNS-Record

Um unmittelbar Meldung über fehlerhafte DNS-Records zu erhalten, schalten Sie Alarme auf Ihre Endpunkte. Mit dem Alarm „Ungültiger CAA DNS-Record“ können Sie sich über fehlerhafte CAA DNS-Records informieren lassen. Der Alarm „Ungültiger SPF DNS-Record“ warnt bei fehlerhaftem SPF-Record.

HTTP-Header

Hier erhalten Sie eine Analyse und Bewertung der von Ihnen über HTTP-Header vorgenommen Konfiguration der HTTP-Verbindung.

Gesetzte HTTP-Header

Alle gesetzten HTTP-Header werden in einer Übersicht gelistet und bewertet:

OK: Die HTTP-Konfiguration entspricht den Empfehlungen.
Vermeidbarer HTTP-Header: Die vorgenommene Konfiguration gibt unnötigerweise viele Informationen preis und macht die HTTP-Verbindung dadurch potenziell angreifbar.
Unbekannter HTTP-Header: Es wurde ein unbekannter HTTP-Header erkannt, der potenziell Informationen preisgibt. Bitte überprüfen Sie die Notwendigkeit des HTTP-Headers und entfernen Sie ihn gegebenenfalls.

Test auf erforderliche HTTP-Header

Es wird überprüft, ob alle für die Sicherheit wichtigen Header gesetzt wurden. Das sind:

Name	Empfehlung	Beschreibung
Content-Security-Policy		Die HTTP Content-Security-Policy regelt welche Ressourcen in einer bestimmten Art und Weise im Browser geladen bzw. ausgeführt werden können.
Expect-CT	max-age=0	Der Expect-CT (Certificate Transparency) HTTP-Header legt fest, wie die CT Policy angewandt werden soll.
Feature-Policy	accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'	Die Feature-Policy bestimmt, welche Funktionen oder APIs eines Browsers verwendet werden dürfen.
Referrer-Policy	no-referrer-when-downgrade	Die Referrer-Policy stellt sicher, dass Referrer Informationen nur unter bestimmten Bedingungen gesendet werden dürfen.
Strict-Transport-Security	max-age=31536000; includeSubDomains	Die HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungs-verschlüsselung als auch vor Session Hijacking schützt.
X-Content-Type-Options	nosniff	Der einzige definierte Wert “nosniff” untersagt dem Internet Explorer durch MIME-Sniffing einen anderen als den deklarierten Inhaltstyp zu bestimmen und anzuwenden.
X-Frame-Options	DENY (SAMEORIGIN) (ALLOW-FROM https://example.com/)	Die X-Frame-Options können verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder <object> rendern also einbetten darf.
X-XSS-Protection	1; mode=block	Die X-XSS-Protection kann Browsern untersagen eine Zielseite zu laden, sofern eine Cross-Site Scripting (XSS) Attacke erkannt wird.

Name

Empfehlung

Beschreibung

Content-Security-Policy

Die HTTP Content-Security-Policy regelt welche Ressourcen in einer bestimmten Art und Weise im Browser geladen bzw. ausgeführt werden können.

Expect-CT

max-age=0

Der Expect-CT (Certificate Transparency) HTTP-Header legt fest, wie die CT Policy angewandt werden soll.

Feature-Policy

accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'

Die Feature-Policy bestimmt, welche Funktionen oder APIs eines Browsers verwendet werden dürfen.

Referrer-Policy

no-referrer-when-downgrade

Die Referrer-Policy stellt sicher, dass Referrer Informationen nur unter bestimmten Bedingungen gesendet werden dürfen.

Strict-Transport-Security

max-age=31536000;

includeSubDomains

Die HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungs-verschlüsselung als auch vor Session Hijacking schützt.

X-Content-Type-Options

nosniff

Der einzige definierte Wert “nosniff” untersagt dem Internet Explorer durch MIME-Sniffing einen anderen als den deklarierten Inhaltstyp zu bestimmen und anzuwenden.

X-Frame-Options

DENY

(SAMEORIGIN)

(ALLOW-FROM https://example.com/)

Die X-Frame-Options können verwendet werden, um zu bestimmen, ob ein aufrufender Browser die Zielseite in einem <frame>, <iframe> oder <object> rendern also einbetten darf.

X-XSS-Protection

mode=block

Die X-XSS-Protection kann Browsern untersagen eine Zielseite zu laden, sofern eine Cross-Site Scripting (XSS) Attacke erkannt wird.

Sollten Header nicht korrekt gesetzt sein, wird eine Empfehlung ausgegeben.

Offene Ports

Hier können Sie Ihre Ports analysieren, die durch den Observer erreichbar sind. Die Bewertung (low, medium, high) gibt Ihnen an, ob die Ports üblicherweise öffentlich erreichbar sein sollten.

Der Observer überprüft die folgenden gewöhnlichen Ports:

Port	IANA Service
21	ftp
22	ssh
23	telnet
25	smtp
53	domain
80	http
106	3com-tsmux
110	pop3
111	sunrpc
123	ntp
135	epmap
137	netbios-ns
138	netbios-dgm
139	netbios-ssn
143	imap
161	snmp
389	ldap
443	https
445	microsoft-ds
465	urd
587	submission
993	imaps
995	pop3s
1433	ms-sql-s
1512	wins
1723	pptp
2222	EtherNet-IP-1
2483	ttc
2484	ttc-ssl
3306	mysql
3389	ms-wbt-server
4369	epmd
5432	postgresql
5666	nrpe
5672	amqp
5984	couchdb
6379	redis
8080	http-alt
8443	pcsync-https
8983	apache solr
27017	mongodb

Mit dem Endpunkt-Alarm "Neuer offener Port" können Sie einen Alarm schalten, sobald der Observer einen neuen offenen Port detektiert.

SSL/TLS

Erhalten Sie Einblicke in Ihre SSL/TLS-Konfigurationen und überprüfen Sie, ob die Verschlüsselung den aktuellen Sicherheitsstandards entspricht.

Zertifikat

Entnehmen Sie der Übersicht Informationen zum verwendeten Zertifikat, z.B. über die Gültigkeit, den verwendeten öffentlichen Schlüssel, welcher Domain das Zertifikat zugeordnet wurde und welche Zertifizierungsstelle es ausgestellt hat.

Web-Verschlüsselungs-Checks

Unsere Security Checks überprüfen die SSL/TLS-Verschlüsselung auf bekannte Schwachstellen, die durch Fehlkonfigurationen oder die Verwendung veralteter Technologien entstehen.

Unsere Security Checks überprüfen die SSL/TLS-Verschlüsselung auf bekannte Schwachstellen, die durch Fehlkonfigurationen oder die Verwendung veralteter Technologien entstehen. Dies sind:

Titel	Beschreibung
Unterstützt SSL/TLS Kompression	Von der Verwendung der Kompression wird abgeraten, da sie SSL/TLS angreifbar macht (insbesondere für CRIME, Compression Ratio Info-leak Made Easy).
Keine Unterstützung für Secure Renegotiation	Secure Renegotiation stellt sicher, dass keine Überlastung möglich ist, wenn ein Client ständig neue Schlüssel anfordert. Anfragen werden dann geblockt und eine DDos-Attacke verhindert.
Unterstützt schwache SSL/TLS Chiffre	SSL/TLS-Chiffren legen fest, mit welchen Verschlüsselungsalgorithmen Schlüssel getauscht werden und wie die Kommunikation abgesichert wird. Werden unsichere SSL/TLS-Chiffren angeboten, ist die hergestellte Verbindung nicht mehr sicher.
Schwacher Diffie-Hellman Parameter	Es wird eine unsichere Schlüsselaustausch-Methode verwendet.
Unterstützt anonyme Chiffren	Anonyme Chiffren sind unsicher und sollten nicht verwendet werden.
Unterstützt gefährdete Chiffren	Chiffren, die unsichere kryptographischer Verfahren beinhalten, sollten nicht angeboten werden.
Unsicheres SSL/TLS Protokoll	Es sollten nur sichere Protokolle zur Verschlüsselung angeboten werden.
Anfällig für NULL Pointer Dereference
Anfällig für DROWN	Mit Hilfe des veralteten SSLv2 lässt sich aufgezeichneter TLS-Traffic knacken.
Anfällig für FREAK	Bei einer FREAK-Attacke werden die Kommunikationspartner dazu gebracht, sich auf eine unsichere Verschlüsselungsmethode zu einigen, obwohl sichere Verfahren zu Verfügung stehen.
Unterstützt nicht das neuste Protokoll (TLSv1.3)	Das neuste und sicherste Protokoll TLSv1.3 wird nicht unterstützt.
Anfällig für Logjam Attacken	Indem eine Schwachstelle im Diffie-Hellman-Schlüsselaustausch ausgenutzt wird, kommen Angreifer an die geheimen Schlüssel.
Chiffre unterstützt MD5	MD5 gilt nicht mehr als ausreichend sicher und sollte daher nicht verwendet werden.
Unterstützt Null-Chiffren-Verschlüsselung	Eine Null-Chiffre bedeutet, es wird gar keine Verschlüsselung verwendet. Dies ist jenseits von Testzwecken niemals zu empfehlen.
Unterstützt für Poodle-Attacken anfällige Chiffren	Poodle-Attacken nutzen eine Sicherheitslücke in SSL 3.0, sodass verschlüsselte Informationen einer SSL 3.0 Verbindung offen gelegt werden können.
Unterstützt RC4 Chiffren	RC4 gilt nicht mehr als ausreichend sicher und sollte daher nicht verwendet warden.
Anfällig für SLOTH Attacke	Schwache Hashfunktionen (MD5, SHA-1) erlauben eine SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes) Attacke.
Anfällig nach Maßgabe des BSI	Die SSL/TLS-Verschlüsselung entspricht nicht den Maßgaben des BSI (Bundesamt für Sicherheit in der Informationstechnik).
Keine Unterstütztung für Perfect Forward Secrecy (PFS)	Perfect Forward Secrecy stellt sicher, dass der jeweils neu ausgehandelte Sitzungsschlüssel nicht aus dem Langzeitschlüssel rekonstruiert werden kann.
Keine Unterstützung für Authenticated Encryption (AEAD) Chiffren
Anfällig für Sweet32 Attacken	Die Stream-Chiffre RC4 macht die Verbindung anfällig für Sweet32 Attacken.
Unterstützt schwache Protokolle	Schwache, veraltete Protokolle gefährden die Sicherheit der SSL/TLS-Verbindung.
Kein Zertifikatsaussteller ermittelbar	SSL/TLS-Zertifikate werden von Certification Authoritys (CA) herausgegeben. Der Herausgeber muss ermittelbar sein.
Zertifikat CRL nicht erreichbar
Zertifikatssignatur nicht entschlüsselbar	Die Signatur eines Zertifikats ermöglicht es einem Dritten die Identität des Zertifikatsbesitzers zu bestätigen. Sie sollte daher lesbar sein.
CRL Signatur nicht entschlüsselbar
Öffentlicher Schlüssel nicht dekodierbar	Der öffentliche Schlüssel (public key) dient dazu, einen sicheren Schlüsselaustausch zu ermöglichen. Er sollte daher dekodierbar sein.
Ungültige Zertifikatssignatur
Ungültige CRL (Certificate Revokation List) signature
Ungültiges Zertifikat	Ungültigen Zertifikaten wurde das Vertrauen entzogen. Sie sollten nicht mehr verwendet werden.
Ungültiges Ablaufdatum des Zertifikats	Das Ablaufdatum des verwendeten Zertifikats ist nicht korrekt.
Ungültige CRL (Certificate Revokation List)	Die verwendete Zertifikatsperrliste ist ungültig.
Ablauf der Gültigkeit der CRL (Certificate Revokation List)	Der Gültigkeitszeitraum der verwendeten Zertifikatsperrliste ist abgelaufen.
Formatfehler im notbefore Feld des Zertifikats	Das notbefore-Feld enhält eine ungültige Zeit.
Formatfehler im notafter Feld des Zertifikats	Das notafter-Feld enhält eine ungültige Zeit.
Formatfehler im Feld lastupdate von crl	Das lastupdate-Feld enhält eine ungültige Zeit.
Selbstsigniertes Zertifikat	Selbst signierte Zertifikate sind nicht in der Lage die Authentizität zu bestätigen und daher nicht zu empfehlen.
Selbstsigniertes Zertifikat in der Zertifikatskette	Selbst signierte Zertifikate sind nicht in der Lage die Authentizität zu bestätigen und daher nicht zu empfehlen
Lokales Aussteller-Zertifikat nicht verfügbar
Das erste Zertifikat konnte nicht verifiziert werden
Zertifikatskette zu lang
Zertifikat widerrufen	Das verwendete Zertifikat wurde widerrufen und sollte nicht mehr verwendet werden.
Ungültiges CA-Zertifikat	Das von der Zertifizierungsstelle (Certificate Authority) ausgegebene Zertifikat ist ungültig.
Pfadlängenbeschränkung überschritten
Nicht unterstützter Zertifikatszweck
Zertifikat ist nicht vertrauenswürdig	Das verwendete Zertifikat wird als nicht vertrauenswürdig angesehen.
Zertifikat abgelehnt	Das verwendete Zertifikat verursacht Probleme und wird daher abgelehnt.
Abweichung zwischen Zertifizierungsstelle und Aussteller	Zertifizierungsstelle und Aussteller passen nicht zusammen.
Abweichung zwischen Zertifizierungsstelle und Seriennummer des Ausstellers	Zertifizierungsstelle und Seriennummer des Ausstellers passen nicht zusammen.
Die Schlüsselverwendung berücksichtigt nicht das Signieren von Zertifikaten
Abgelaufenes Zertifikat	Wenn das Zertifikat abgelaufen ist, wird es ungültig und du kannst keine sicheren Transaktionen mehr durchführen.

Titel

Beschreibung

Unterstützt SSL/TLS Kompression

Von der Verwendung der Kompression wird abgeraten, da sie SSL/TLS angreifbar macht (insbesondere für CRIME, Compression Ratio Info-leak Made Easy).

Keine Unterstützung für Secure Renegotiation

Secure Renegotiation stellt sicher, dass keine Überlastung möglich ist, wenn ein Client ständig neue Schlüssel anfordert. Anfragen werden dann geblockt und eine DDos-Attacke verhindert.

Unterstützt schwache SSL/TLS Chiffre

SSL/TLS-Chiffren legen fest, mit welchen Verschlüsselungsalgorithmen Schlüssel getauscht werden und wie die Kommunikation abgesichert wird. Werden unsichere SSL/TLS-Chiffren angeboten, ist die hergestellte Verbindung nicht mehr sicher.

Schwacher Diffie-Hellman Parameter

Es wird eine unsichere Schlüsselaustausch-Methode verwendet.

Unterstützt anonyme Chiffren

Anonyme Chiffren sind unsicher und sollten nicht verwendet werden.

Unterstützt gefährdete Chiffren

Chiffren, die unsichere kryptographischer Verfahren beinhalten, sollten nicht angeboten werden.

Unsicheres SSL/TLS Protokoll

Es sollten nur sichere Protokolle zur Verschlüsselung angeboten werden.

Anfällig für NULL Pointer Dereference

Anfällig für DROWN

Mit Hilfe des veralteten SSLv2 lässt sich aufgezeichneter TLS-Traffic knacken.

Anfällig für FREAK

Bei einer FREAK-Attacke werden die Kommunikationspartner dazu gebracht, sich auf eine unsichere Verschlüsselungsmethode zu einigen, obwohl sichere Verfahren zu Verfügung stehen.

Unterstützt nicht das neuste Protokoll (TLSv1.3)

Das neuste und sicherste Protokoll TLSv1.3 wird nicht unterstützt.

Anfällig für Logjam Attacken

Indem eine Schwachstelle im Diffie-Hellman-Schlüsselaustausch ausgenutzt wird, kommen Angreifer an die geheimen Schlüssel.

Chiffre unterstützt MD5

MD5 gilt nicht mehr als ausreichend sicher und sollte daher nicht verwendet werden.

Unterstützt Null-Chiffren-Verschlüsselung

Eine Null-Chiffre bedeutet, es wird gar keine Verschlüsselung verwendet. Dies ist jenseits von Testzwecken niemals zu empfehlen.

Unterstützt für Poodle-Attacken anfällige Chiffren

Poodle-Attacken nutzen eine Sicherheitslücke in SSL 3.0, sodass verschlüsselte Informationen einer SSL 3.0 Verbindung offen gelegt werden können.

Unterstützt RC4 Chiffren

RC4 gilt nicht mehr als ausreichend sicher und sollte daher nicht verwendet warden.

Anfällig für SLOTH Attacke

Schwache Hashfunktionen (MD5, SHA-1) erlauben eine SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes) Attacke.

Anfällig nach Maßgabe des BSI

Die SSL/TLS-Verschlüsselung entspricht nicht den Maßgaben des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Keine Unterstütztung für Perfect Forward Secrecy (PFS)

Perfect Forward Secrecy stellt sicher, dass der jeweils neu ausgehandelte Sitzungsschlüssel nicht aus dem Langzeitschlüssel rekonstruiert werden kann.

Keine Unterstützung für Authenticated Encryption (AEAD) Chiffren

Anfällig für Sweet32 Attacken

Die Stream-Chiffre RC4 macht die Verbindung anfällig für Sweet32 Attacken.

Unterstützt schwache Protokolle

Schwache, veraltete Protokolle gefährden die Sicherheit der SSL/TLS-Verbindung.

Kein Zertifikatsaussteller ermittelbar

SSL/TLS-Zertifikate werden von Certification Authoritys (CA) herausgegeben. Der Herausgeber muss ermittelbar sein.

Zertifikat CRL nicht erreichbar

Zertifikatssignatur nicht entschlüsselbar

Die Signatur eines Zertifikats ermöglicht es einem Dritten die Identität des Zertifikatsbesitzers zu bestätigen. Sie sollte daher lesbar sein.

CRL Signatur nicht entschlüsselbar

Öffentlicher Schlüssel nicht dekodierbar

Der öffentliche Schlüssel (public key) dient dazu, einen sicheren Schlüsselaustausch zu ermöglichen. Er sollte daher dekodierbar sein.

Ungültige Zertifikatssignatur

Ungültige CRL (Certificate Revokation List) signature

Ungültiges Zertifikat

Ungültigen Zertifikaten wurde das Vertrauen entzogen. Sie sollten nicht mehr verwendet werden.

Ungültiges Ablaufdatum des Zertifikats

Das Ablaufdatum des verwendeten Zertifikats ist nicht korrekt.

Ungültige CRL (Certificate Revokation List)

Die verwendete Zertifikatsperrliste ist ungültig.

Ablauf der Gültigkeit der CRL (Certificate Revokation List)

Der Gültigkeitszeitraum der verwendeten Zertifikatsperrliste ist abgelaufen.

Formatfehler im notbefore Feld des Zertifikats

Das notbefore-Feld enhält eine ungültige Zeit.

Formatfehler im notafter Feld des Zertifikats

Das notafter-Feld enhält eine ungültige Zeit.

Formatfehler im Feld lastupdate von crl

Das lastupdate-Feld enhält eine ungültige Zeit.

Selbstsigniertes Zertifikat

Selbst signierte Zertifikate sind nicht in der Lage die Authentizität zu bestätigen und daher nicht zu empfehlen.

Selbstsigniertes Zertifikat in der Zertifikatskette

Selbst signierte Zertifikate sind nicht in der Lage die Authentizität zu bestätigen und daher nicht zu empfehlen

Lokales Aussteller-Zertifikat nicht verfügbar

Das erste Zertifikat konnte nicht verifiziert werden

Zertifikatskette zu lang

Zertifikat widerrufen

Das verwendete Zertifikat wurde widerrufen und sollte nicht mehr verwendet werden.

Ungültiges CA-Zertifikat

Das von der Zertifizierungsstelle (Certificate Authority) ausgegebene Zertifikat ist ungültig.

Pfadlängenbeschränkung überschritten

Nicht unterstützter Zertifikatszweck

Zertifikat ist nicht vertrauenswürdig

Das verwendete Zertifikat wird als nicht vertrauenswürdig angesehen.

Zertifikat abgelehnt

Das verwendete Zertifikat verursacht Probleme und wird daher abgelehnt.

Abweichung zwischen Zertifizierungsstelle und Aussteller

Zertifizierungsstelle und Aussteller passen nicht zusammen.

Abweichung zwischen Zertifizierungsstelle und Seriennummer des Ausstellers

Zertifizierungsstelle und Seriennummer des Ausstellers passen nicht zusammen.

Die Schlüsselverwendung berücksichtigt nicht das Signieren von Zertifikaten

Abgelaufenes Zertifikat

Wenn das Zertifikat abgelaufen ist, wird es ungültig und du kannst keine sicheren Transaktionen mehr durchführen.

Es kann vorkommen, dass in Enginsight ein Zertifikat als nicht verifizierbar markiert wird, obwohl Ihr Browser keine Fehlermeldung ausgibt, wenn Sie die Domain dort aufrufen. Dabei handelt es sich um keinen False Positive. In diesem Fall hat Ihr Browser die Zertifikatkette einer gängigen Certification Authority (CA) gecasht, weshalb er die Zertifikatskette nachvollziehen kann. Es handelt sich dennoch um keine korrekte Konfiguration Ihrer SSL/TLS-Verschlüsselung, da der Verweis auf das Root Zertifikat in der Zertifikatskette fehlt.

Unterstützte Protokolle

Sie erhalten eine Übersicht aller unterstützten Protokolle, die mit der Best Practice abgeglichen werden. Ein Rating gibt an, wie kritisch Abweichungen von der Empfehlung sind.

Das Label "OK" bedeutet, dass die Zertifikate aus sicherheitstechnischer Sicht den aktuellen Standards entsprechen und keine kritischen Sicherheitslücken aufweisen.

Unterstützte Chiffren

Sie erhalten eine Übersicht aller unterstützten Chiffren, die mit der Best Practice abgeglichen werden. Ein Rating gibt an, wie kritisch Abweichungen von der Empfehlung sind.

PreviousEndpunkte (Observer)NextDomains

Last updated 15 days ago