Skip to content

SSL im Browser sicher verwenden

Die Webseite How’s My SSL zeigt, wie gut oder schlecht euer Browser konfiguriert ist. Für den Firefox in der Version 24 ergibt sich:

Your SSL client is Bad.

Wie lässt sich der Wert nun verbessern? Ich habe untenstehend mal ein paar Hinweise zusammengestellt.

Firefox

Die Notizen beziehen sich auf den Firefox in der Version 24. In älteren Versionen hießen die entsprechenden Konfigurationspunkte teilweise anders. Eventuell ändern sich die Werte in der Zukunft wieder.

Die Konfiguration des Firefox’ muss über about:config angepasst werden. Im Menü gibt es dafür keine Möglichkeiten. Gebt also in die Adresszeile about:config ein. Firefox wird warnen, dass sich die Änderungen auf Sicherheit, Stabilität etc. auswirken können. Aus meiner Sicht sind die unten vorgestellten Änderungen unkritisch. Daher könnt ihr die Meldung bestätigen.

Im folgenden Fenster gibt es oben eine Suchzeile und unten diverse Konfigurationsoptionen. Gebt in die Suchzeile tls.v (oder auch tls.version) ein. Es erscheinen vier oder fünf Ergebnisse. Wichtig sind die Optionen security.tls.version.min und security.tls.version.max. Im letzten Eintrag auf der Zeile stehen die Zahlenwerte 0 (SSL 3.0), 1 (TLS 1.0), 2 (TLS 1.1) oder 3 (TLS 1.2). Mit einem Doppelklick auf die Zeile lassen sich die Werte ändern. Ich würde security.tls.version.min auf 2 setzen und security.tls.version.max auf 3. Es kann jedoch sein, dass bestimmte Seiten mit den Einstellungen nicht mehr funktionieren. In dem Fall setzt ihr den ersten Wert auf 1. Berichtet mal, welche Seiten das betrifft. Ihr solltet auch den Admin der Seite informieren. Vielleicht passt dieser die Konfiguration des Servers ja an.

Der nächste Punkt, der von der Testseite reklamiert wird, sind unsichere Algorithmen. Die Chiffre SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA wird vom Firefox noch unterstützt. Gebt in die about:config-Seite fips ein. Es dürfte nur ein Ergebnis bleiben. Ein Doppelklick ändert der Wert auf False. Brian Smith wies mich auf eine Diskussion bei Github hin. Dort gibt es einen Pull-Request nach dem SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA als nicht unsicher eingestuft werden soll. Eventuell muss diese Chiffre nicht aus den Einstellungen entfernt werden. Im Firefox ab Version 27 wird die entfernt.

Ein Reload der Seite zeigt nun das Ergebnis:

Your SSL client is Probably Okay.

Ich würde alle RC4-Chiffren ebenfalls deaktivieren. Dazu suche ich einfach rc4 und setze alle Werte auf falsch. Kai Raven hat weitere nützliche Hinweise zur Verschlüsselung im Firefox gesammelt. Seine Seite ist immer einen Blick wert.

Auf Twitter kommentierte @andiheimann, dass das Tor Browser Bundle bei dem Test durchfällt:

In dem Fall muss Tor eine Balance zwischen Anonymität und Sicherheit finden. Vermutlich sticht ein Browser mit den Einstellungen zu stark aus der Masse heraus und gefährdet damit die Anonymität des Nutzers. Insofern ist es hier wieder sinnvoller zu warten. Immerhin hat Firefox angekündigt, ab der Version 27 die neuen TLS-Versionen standardmäßig zu aktivieren. Dann verschwindet das Problem hoffentlich von allein.

Das Tor-Projekt hat die Version 4.0 des Tor-Browser veröffentlicht. Darin wurde SSLv3 wegen der POODLE-Schwachstelle deaktiviert.

Google Chrome und Chromium

Chrome und Chromium machen laut der Seite auf Anhieb alles richtig. Falls auch RC4 deaktiviert werden soll, muss der Aufruf mit Optionen erfolgen:

chromium --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 deaktiviert RC4. Die Codes für den Aufruf sind in der TLS Cipher Suite Registry aufgelistet.

Im Oktober 2014 wurde eine Lücke bei SSL3 bekannt. Daher ist es sinnvoll, mindestens TLS 1.0 zu verwenden. Diese Option muss daher im Aufruf mit enthalten sein: --ssl-version-min=tls1.

Opera

Internetoptionen beim IEOpera 12 präsentiert sich zunächst auch mit schlechten SSL/TLS-Einstellungen. Unter Windows liefert Opera die Version 18 aus. Diese wie auch Opera Next werden von der Testseite als Gut eingestuft.

Wenn ihr die alte Opera-Version habt, kommt ihr mit der Taste Strg+F12 in das Menü. Im letzten Reiter »Erweitert« gibt es den Eintrag »Sicherheit«. Mit der Schaltfläche »Sicherheitsprotokolle« öffnen sich die Einstellungen. Dort sollte nur TLS 1.2 (und ggf. TLS 1.1) aktiv sein. Bei den Einzelheiten könnt ihr die Einträge für ARC4 rausnehmen.

Mit den Einstellungen kommt der Opera auf Improvable. Problematisch sind hier noch die Session Tickets. Leider fand ich keine Möglichkeit, die Einstellungen zu ändern. Falls ihr einen Hinweis habt, hinterlasst einen Kommentar.

Safari

Der Webbrowser von Apple ist genau wie der Opera Improvable. Die Session Tickets trüben die Wertung und wie oben gilt: Wer einen Hinweis zur Konfiguration hat, möge den als Kommentar hinterlassen.

Internet Explorer

Der Internet Explorer hat standardmäßig SSLv3 noch aktiviert. Klickt auf das Zahnrad und wählt Internetoptionen. Im Reiter Erweitert müsst ihr bis ganz nach unten scrollen. Dort seht ihr dann Schaltflächen für SSLv2, SSLv3 und mehr. Deaktiviert SSLv3 und bestätigt dies. Danach verwendet der Internet Explorer kein SSLv3 mehr.

Andere

Andere Browser werde ich eventuell später noch ergänzen.

Updates:

  1. Felix “ href=”/blog/archives/1563-SSL-im-Browser-sicher-verwenden.html#c9071">wies darauf hin, dass er noch einen weiteren Ausschluss für den Chrome braucht.
  2. Vielen Dank an @mr_moosbee, @remark73 und @kampfflunder für die Safari-Hinweise.
  3. Ein paar Worte zum Tor Browser Bundle.
  4. Brian Smith schickte mir den Link zu der Diskussion auf Github und morphium erwähnte in den Kommentaren Opera.
  5. Verweis auf den Eintrag zum Firefox-Tuning im Wiki von Kai Raven.
  6. Mit der POODLE-Schwachstelle muss mindestens TLS 1.0 verwendet werden.
  7. Erwähnung von TBB 4.0 ohne SSLv3
  8. Beschreibung zum Internet Explorer

Trackbacks

Qbi's Weblog on : SSL im Browser sicher verwenden

Show preview
Die Webseite How’s My SSL zeigt, wie gut oder schlecht euer Browser konfiguriert ist. Für den aktuellen Firefox in der Version 24 ergibt sich: Your SSL client is Bad. Wie lässt sich der Wert nun verbessern? Ich habe untenstehend mal ein paa

Martin Grandrath on : Martin Grandrath via Twitter

Show preview
Der @qbi erklärt, wie man SSL richtig einstellt http://t.co/17MxEV7NkD

Christian Pietsch on : Christian Pietsch via Twitter

Show preview
RT @MartinGrandrath: Der @qbi erklärt, wie man SSL richtig einstellt http://t.co/17MxEV7NkD

Christian Pietsch on : Christian Pietsch via Twitter

Show preview
Nochmal für Normalos: Im Firefox sind HTTPS-Verbindungen nur dann abhörsicher, wenn man folgendes einstellt http://t.co/5PZqcauyNR

Qbi's Weblog on : Using SSL securely in your browser

Show preview
The website How’s My SSL shows you, how your Browser handles HTTPS connections. In the case of Firefox 24 it shows: Your SSL client is Bad. But how can you improve this? I wrote some hints below: Firefox I use Firefox 24. So all I

Anne Roth on : Anne Roth via Twitter

Show preview
Dank @qbi habe ich eben mit ein paar Klicks meinen Firefox sicherer gemacht http://t.co/iqHGWbuTdB

mkalina on : mkalina via Twitter

Show preview
RT @annalist: Dank @qbi habe ich eben mit ein paar Klicks meinen Firefox sicherer gemacht http://t.co/iqHGWbuTdB

Free Chelsea Manning on : Free Chelsea Manning via Twitter

Show preview
RT @annalist: Dank @qbi habe ich eben mit ein paar Klicks meinen Firefox sicherer gemacht http://t.co/iqHGWbuTdB

Cyrus McDugan on : Cyrus McDugan via Twitter

Show preview
RT @annalist: Dank @qbi habe ich eben mit ein paar Klicks meinen Firefox sicherer gemacht http://t.co/iqHGWbuTdB

Christian Wagner on : Christian Wagner via Twitter

Show preview
RT @annalist: Dank @qbi habe ich eben mit ein paar Klicks meinen Firefox sicherer gemacht http://t.co/iqHGWbuTdB

fluxus on : fluxus via Twitter

Show preview
“SSL im Browser sicher verwenden” - Anleitung von @qbi für die Browser-Umkonfigurierung: http://t.co/38N2QbUcpC #privacy via @annalist

Campusgrün on : Campusgrün via Twitter

Show preview
RT @fluxusx: “SSL im Browser sicher verwenden” - Anleitung von @qbi für die Browser-Umkonfigurierung: http://t.co/38N2QbUcpC #privacy via @…

Andreas Braukmann on : Andreas Braukmann via Twitter

Show preview
RT @annalist: Dank @qbi habe ich eben mit ein paar Klicks meinen Firefox sicherer gemacht http://t.co/iqHGWbuTdB

Mahriah on : Mahriah via Twitter

Show preview
RT @fluxusx: “SSL im Browser sicher verwenden” - Anleitung von @qbi für die Browser-Umkonfigurierung: http://t.co/38N2QbUcpC #privacy via @…

wetter on : wetter via Twitter

Show preview
RT @annalist: Dank @qbi habe ich eben mit ein paar Klicks meinen Firefox sicherer gemacht http://t.co/iqHGWbuTdB

Sonstwer on : Sonstwer via Twitter

Show preview
RT @fluxusx: “SSL im Browser sicher verwenden” - Anleitung von @qbi für die Browser-Umkonfigurierung: http://t.co/38N2QbUcpC #privacy via @…

Jock Dieslag on : Jock Dieslag via Twitter

Show preview
RT @annalist: Dank @qbi habe ich eben mit ein paar Klicks meinen Firefox sicherer gemacht http://t.co/iqHGWbuTdB

Anne Roth on : Anne Roth via Twitter

Show preview
@dephzon Unsicher hinsichtlich SSL/TLS, siehe http://t.co/iqHGWbuTdB

Sonya... on : Sonya... via Twitter

Show preview
RT @diyfire: Mit HTTPSEverywhere verschlüsselte Verbindungen bevorzugen http://t.co/VdyrEKFYox und SSL im Browser sicher verwenden http://t…

Miro N on : Miro N via Twitter

Show preview
Empfehlung: Dank @qbi habe ich eben mit ein paar Klicks meinen Firefox sicherer gemacht http://t.co/v5QaMjImTa (via @annalist)

Qbi's Weblog on : Noch jemand ohne TLS1.2?

Show preview
In meinem Beitrag zur sicheren Einstellung von SSL/TLS im Browser fragte ich, ob ihr Seiten bemerkt, die nicht mit TLS 1.1 oder 1.2 funktionieren. In den Kommentaren und bei Twitter meldeten sich einige. Irgendwann entschied ich, eine eigene Webseite

Anne Roth on : Anne Roth via Twitter

Show preview
@kooptech @Linuzifer Und dann wäre der SSL/TLS-Test von @qbi noch hübsch http://t.co/KLG68PpG84 - web.de eben getestet: durchgefallen.

Qbi's Weblog on : Firefox 27 mit TLS 1.2

Show preview
Jetzt ist der Zeitpunkt gekommen, an dem ich meine Anleitung zu sicheren SSL-Einstellungen löschen kann. Der aktuelle Firefox ist in der Version 27 erschienen. Wie angekündigt, unterstützt der Browser nun standardmäßig TLS 1.1 und 1.2. Damit wer

Heiko Linke on : Heiko Linke via Twitter

Show preview
RT @qbi: Hinweise, wie man sicher mit #SSL im Browser unterwegs ist: http://t.co/gjiPs8Y4fw #SSLv3 #POODLE

auf Quitter on : auf Quitter via Twitter

Show preview
RT @qbi: Hinweise, wie man sicher mit #SSL im Browser unterwegs ist: http://t.co/gjiPs8Y4fw #SSLv3 #POODLE

Thomas Schramm on : Thomas Schramm via Twitter

Show preview
RT @qbi: Hinweise, wie man sicher mit #SSL im Browser unterwegs ist: http://t.co/gjiPs8Y4fw #SSLv3 #POODLE

Benny Baumann on : Benny Baumann via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

auf Quitter on : auf Quitter via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

martinhaase on : martinhaase via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Felix Kronlage on : Felix Kronlage via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Digitalcourage e.V. on : Digitalcourage e.V. via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Dagger on : Dagger via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Frerk Meyer on : Frerk Meyer via Twitter

Show preview
SSL im Browser sicher verwenden http://t.co/PGD7KRywRn

Moritz Schlarb on : Moritz Schlarb via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

puzzle on : puzzle via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Andrea Knabe-S. on : Andrea Knabe-S. via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Aldi on : Aldi via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Jim Bohne on : Jim Bohne via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

MadHasher on : MadHasher via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Mathias Ertl on : Mathias Ertl via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

mkalina on : mkalina via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

WolfGang Schwarz on : WolfGang Schwarz via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Count von Count on : Count von Count via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Kahr Patrick on : Kahr Patrick via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Alexander Fürstenau on : Alexander Fürstenau via Twitter

Show preview
RT @qbi: Nochmal für die Morgenschicht: So könnt ihr euren Browser für #SSL richtig einstellen: http://t.co/Yo48aH0Sp3 #SSLv3 #crypto #POO…

Datenkanal on : DK34: Sicherheitslücke bei Drupal und ShellShock

Show preview
Unsere Sommerpause ist vorbei und wir nehmen den Sendebetrieb wieder auf. Die Räume beim Radio OKJ wurden komplett überarbeitet und erstrahlen in neuem Glanz. Wir nehmen in der Sendung zwei Sicherheitslücken unter die Lupe. SQL Injection bei Drupa

Datenkanal on : DK47: TLS: Gefährdungen für Anwender, Betreiber und CAs

Show preview
Der 47. Datenkanal ist eine Fortsetzung unserer Gespräche über TLS. Wir diskutieren, wo Probleme und Gefahren für Endanwender, Serverbetreiber und CAs liegen. Dabei geht es uns um Schwächen in der Benutzung und Umsetzung. Die Schwachstellen im Protokoll h

Qbi's Weblog on : Using SSL securely in your browser

Show preview
The website How's My SSL shows you, how your Browser handles HTTPS connections. In the case of Firefox 24 it shows: Your SSL client is Bad. But how can you improve this? I wrote some hints below: Firefox I use Firefox 24. So all

Comments

Display comments as Linear | Threaded

Stefan on :

Was hältst Du vom Firefox-Add-On

https://calomel.org/firefox_ssl_validation.html

Das kümmert sich per GUI um solche Dinge wie “Cipher Restrictions”, z. B. “256 bit Perfect Forward Secrecy only” und passt damit die Browserkonfiguration an.

Das könnte zugänglicher sein als sich durch die about:config zu wühlen und u. U. unklare Einträge händisch zu modifizieren.

Jens Kubieziel on :

Ich habe das vor längerem mal probiert und damals überzeugte mich das nicht. Insbesondere legten die Entwickler damals andere Schwerpunkte bei der Gewichtung.

Wenn ich jetzt so die Kommentare durchlese, hat die Erweiterung immer noch UI-Probleme. Bei manchen Leuten scheint sogar der Browser nach der Installation hin zu sein.

An sich wäre es natürlich wünschenswert, wenn es ein bequem zu nutzendes Plugin für sowas gäbe.

Felix on :

Zumindest bei meiner Chromium-Version muss außerdem noch 0xc007 in die Blacklist (TLS_ECDHE_ECDSA_WITH_RC4_128_SHA).

Jens Kubieziel on :

Was meinst du?

Stefan on :

QUOTE:
Es kann jedoch sein, dass bestimmte Seiten mit den Einstellungen nicht mehr funktionieren.


Ein security.tls.version.min höher als 1 zerlegt einige Seiten, zumindest in der Optik, selbst heise.de

Als ich nachschauen wollte, wie man hier zitiert, gab es folgendes:

An error occurred during a connection to www.phpbb.com. Cannot communicate securely with peer: no common encryption algorithm(s). (Error code: ssl_error_no_cypher_overlap)

Da liegt ja einiges im Argen.

Jens Kubieziel on :

Sowohl Heise wie auch PHPBB bieten nur SSL3 und TLS1.0. Siehe den SSLLabs-Scan von Heise und phpbb.

Thomas Schramm on :

Die 1und1 Hostingpakete streiken bei https und tls.version.min 2 im Firefox (“Fehlercode: ssl_error_no_cypher_overlap”), mit 1 gehts (TLS 1.0). “How’s My SSL” scheint es zu reichen.

Anonymous on :

“Ich würde security.tls.version.min auf 2 setzen und security.tls.version.min auf 3.”

Fehler?

Frage: heise.de bietet kein korrektes TLS-Zertifikat an. Oder wie baut ihr zu heise.de eine verschlüsselte Verbindung?

Jens Kubieziel on :

Ja, danke. Das war ein Fehler und ist korrigiert. Heise muss ich später nochmal genauer untersuchen. Vorhin hatte ich das Problem, dass Heise automatisch immer von HTTPS zu HTTP umgeleitet hat.

kessel on :

Das Firefox Addon Keefox für KeePass funktioniert mit security.tls.version.min auf 2 nicht mehr, erst wenn ich es auf 1 setze klappt es wieder.

Rainer S. on :

Und nun der wahre Browser fällt völlig surch ;-)

~$ lynx --version
Lynx Version 2.8.7rel.2 (21 Jun 2010)
libwww-FM 2.14, SSL-MM 1.4.1, OpenSSL 1.0.1e, ncurses 5.9.20110404
Built on darwin13.0.0 Nov 11 2013 15:44:52


~$ lynx -dump https://www.howsmyssl.com/
(BUTTON) [1]How’s My SSL?
[2]Home
[3]About
[4]API

Your SSL client is Bad.

Check out the sections below for information about the SSL/TLS client
you used to render this page.

Yeah, we [5]really mean “TLS”, not “SSL”.

Version

Good Your client is using TLS 1.2, the most modern version of the
encryption protocol. It gives you access to the fastest, most secure
encryption possible on the web.

[6]Learn More

Ephemeral Key Support

Good Ephemeral keys are used in some of the cipher suites your client
supports. This means your client may be used to provide [7]forward
secrecy if the server supports it. This greatly increases your
protection against snoopers, including global passive adversaries who
scoop up large amounts of encrypted traffic and store them until their
attacks (or their computers) improve.

[8]Learn More

Session Ticket Support

Good Session tickets are supported in your client. Services you use
will be able to scale out their TLS connections much easier with this
feature.

[9]Learn More

TLS Compression

Bad Your TLS client supports compressing the settings that encrypt your
connection. This is really not good. It makes your TLS connections
susceptible to the [10]CRIME attack and your encrypted data could be
leaked!

[11]Learn More

BEAST Vulnerability

Good Your client is not vulnerable to the [12]BEAST attack because it’s
using a TLS protocol newer than TLS 1.0. The BEAST attack is only
possibly against clients using TLS 1.0 or earlier using
[13]Cipher-Block Chaining cipher suites that do not implement the
1/(n-1) record splitting mitigation.

[14]Learn More

Insecure Cipher Suites

Bad Your client supports cipher suites that are known to be insecure:
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA: This cipher uses keys
smaller than 128 bits in its encryption.
TLS_DHE_DSS_WITH_DES_CBC_SHA: This cipher uses keys smaller than
128 bits in its encryption.
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA: This cipher uses keys
smaller than 128 bits in its encryption.
TLS_DHE_RSA_WITH_DES_CBC_SHA: This cipher uses keys smaller than
128 bits in its encryption.
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA: This cipher uses keys smaller
than 128 bits in its encryption.
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5: This cipher uses keys smaller
than 128 bits in its encryption.
TLS_RSA_EXPORT_WITH_RC4_40_MD5: This cipher uses keys smaller than
128 bits in its encryption.
TLS_RSA_WITH_DES_CBC_SHA: This cipher uses keys smaller than 128
bits in its encryption.

[15]Learn More

Given Cipher Suites

The cipher suites your client said it supports, in the order it sent
them, are:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_SRP_SHA_DSS_WITH_AES_256_CBC_SHA
TLS_SRP_SHA_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_SRP_SHA_DSS_WITH_3DES_EDE_CBC_SHA
TLS_SRP_SHA_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_SRP_SHA_DSS_WITH_AES_128_CBC_SHA
TLS_SRP_SHA_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_SEED_CBC_SHA
TLS_DHE_DSS_WITH_SEED_CBC_SHA
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_SEED_CBC_SHA
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
TLS_RSA_WITH_IDEA_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
TLS_ECDH_RSA_WITH_RC4_128_SHA
TLS_ECDH_ECDSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
TLS_DHE_RSA_WITH_DES_CBC_SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA
TLS_RSA_WITH_DES_CBC_SHA
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_EXPORT_WITH_RC4_40_MD5
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

[16]Learn More

References

1. https://www.howsmyssl.com/
2. https://www.howsmyssl.com/
3. https://www.howsmyssl.com/s/about.html
4. https://www.howsmyssl.com/s/api.html
5. https://www.howsmyssl.com/s/about.html#tls-vs-ssl
6. https://www.howsmyssl.com/s/about.html/#version
7. http://en.wikipedia.org/wiki/Forward_secrecy
8. https://www.howsmyssl.com/s/about.html/#ephemeral-key-support
9. https://www.howsmyssl.com/s/about.html/#session-ticket-support
10. http://en.wikipedia.org/wiki/CRIME_(security_exploit)
11. https://www.howsmyssl.com/s/about.html/#tls-compression
12. http://en.wikipedia.org/wiki/Transport_Layer_Security#BEAST_attack
13. http://en.wikipedia.org/wiki/Cipher_block_chaining#Cipher-block_chaining_.28CBC.29
14. https://www.howsmyssl.com/s/about.html/#beast-vulnerability
15. https://www.howsmyssl.com/s/about.html/#insecure-cipher-suites
16. https://www.howsmyssl.com/s/about.html/#given-cipher-suites
~$

Jens Kubieziel on :

Links2 und w3m geht es ähnlich. So wie ich es sehe, müsste man hier an die Quellen ran.

Stefan on :

archive.org

“Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Keine gemeinsamen Verschlüsselungsalgorithmen. (Fehlercode: ssl_error_no_cypher_overlap)”

Stefan on :

archive.org:

Funktioniert nur mit der Einstellung:

security.tls.version.min = 0

vsnfd on :

Bei security.tls.version.min=2 scheitert auch https://events.ccc.de/ :-)

Fluw on :

Einloggen bei Amazon klappt auch erst wieder, wenn ich tls.version.min auf 1 setze.

gb on :

Bei security.tls.version.min=1 erhält man von Amazon beim anmelden:
Fehlercode: ssl_error_no_cypher_overlap

Mit security.tls.version.min=2 funktioniert es.

[Win7/FF26]

morphium on :

Also für Opera muss ich sagen, dass nur beim 12er (der warsch. bei vielen noch läuft) die von dir vorgenommenen Einstellungen vorgenommen werden. Beim aktuellen Opera (18) und auch bei Opera Next (19) ist alles mit den Standard-Einstellungen “good”.

morphium

Jens Kubieziel on :

Ich habe leider kein Windows in der Nähe und für Linux gibt es nur die 12er. Kannst du mir mal einen Screenshot zukommen lassen?

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.
Form options
cronjob