Webseiten mit alten SSL/TLS-Versionen

Um was geht es hier?

Bei meiner Anleitung zur sicheren Verwendung von Verschlüsselung im Browser fragte ich nach Seiten, die mit der TLS-Version 1.1 nicht funktionieren. Seitdem bekam ich viele Rückmeldungen, die ich hier mal sammeln will. Unten findet ihr eine Übersicht, welche Seiten mit welcher SSL- oder TLS-Version funktionieren. Dabei versuche ich nur solche aufzunehmen, die kein TLS 1.1 oder besser anbieten. Falls ihr Seiten kennt, die hier fehlen, schreibt eine Zeile in das Pad oder editiert die Datei SSL-TLS.org bei Github.

Ein Großteil der Seiten verwendet SSL3 mit TLS1.0. Beide Protokolle haben ihre Schwächen. Daher möchten wir die Administratoren der Seiten bitten, TLS in der Version 1.2 anzubieten. Unterstützt uns und helft, ein solches Schreiben zu entwerfen.

Webseiten mit SSL-/TLS-Version

Name       Result from SSLLabs
Aallnet.org   SSL3 TLS1.0 B
about.me   SSL3 TLS1.0 A
abuse.ch   SSL3 TLS1.0 B
academia.edu   SSL3 TLS1.0 B
AfD   SSL3 TLS1.0 B
Amazon   SSL3 TLS1.0 A
Amherst College SSL2 SSL3 TLS1.0 F
Antifainfoblatt   SSL3 TLS1.0 A
Apache Webserver   SSL3 TLS1.0 A
April SSL2 SSL3 TLS1.0 F
Arbeitskreis Vorratsdatenspeicherung   SSL3 TLS1.0 F
Archive.org   SSL3   A
Arxiv SSL2 SSL3 TLS1.0 F
Atagar   SSL3 TLS1.0 B
Bank of America   SSL3 TLS1.0 A-1, B
BioMed Central   SSL3 TLS1.0 B
Bit.ly   SSL3 TLS1.0 B
Bitcoin   SSL3 TLS1.0 F
BMWi   SSL3 TLS1.0 B
BrowserStack   SSL3 TLS1.0 B
Budrich Academic   SSL3 TLS1.0 F
CAcert   SSL3 TLS1.0 F
Center for Internet and Society   SSL3 TLS1.0 B
Chronicle   SSL3 TLS1.0 B
Citizens Bank   SSL3 TLS1.0 B
Coursera   SSL3 TLS1.0 A
Creative Commons   SSL3 TLS1.0 B
Cryptostorm.is   SSL3 TLS1.0 B
CVE   SSL3 TLS1.0 B
De Gruyter SSL2 SSL3 TLS1.0 F
DFN   SSL3 TLS1.0 B
Diaspora   SSL3 TLS1.0 B
Django   SSL3 TLS1.0 B
DNB-Portal SSL2 SSL3 TLS1.0 F
Duke   SSL3 TLS1.0 B
dvcs.w3.org   SSL3 TLS1.0 B
EBSCOhost SSL2 SSL3 TLS1.0 F
Emerald Insight   SSL3 TLS1.0 B
eScholarship@BC SSL2 SSL3 TLS1.0 F
Eventseite beim CCC   SSL3 TLS1.0 F
F-Droid   SSL3 TLS1.0 B
Flattr   SSL3 TLS1.0 B
FOSDEM   SSL3 TLS1.0 B
Freedom to tinker   SSL3 TLS1.0 B
Freenode   SSL3 TLS1.0 B
FSFE   SSL3 TLS1.0 B
FU Berlin (+Subdomains)   SSL3 TLS1.0 B
FU Hagen (Wiki)   SSL3 TLS1.0 B
Get Digital   SSL3 TLS1.0 B
Github (Hilfeseite)   SSL3 TLS1.0 A
GNU   SSL3 TLS1.0 A
Goetheanum   SSL3 TLS1.0 B
Heidelberger Dokumentenserver SSL2 SSL3 TLS1.0 F
Heise   SSL3 TLS1.0 A
Helmholtz-Zentrum Dresden-Rossendorf e.V.   SSL3 TLS1.0 B
HostEurope   SSL3 TLS1.0 B
infoEd Global   SSL3 TLS1.0 B
JISC Collections SSL2 SSL3 TLS1.0 F
Jottit   SSL3 TLS1.0 B
K-Classic Mobil   SSL3 TLS1.0 B
Kai Raven   SSL3 TLS1.0 F
Launchpad   SSL3 TLS1.0 B
Lending Tree   SSL3 TLS1.0 B
Linkedin   SSL3 TLS1.0 B
Linux Plumbers Conference SSL2 SSL3 TLS1.0 F
Linuxquestions.org   SSL3 TLS1.0 B
Lorea.org   SSL3 TLS1.0 A
lqpp.de   SSL3 TLS1.0 B
Mendeley   SSL3 TLS1.0 B
Microsoft SSL2 SSL3 TLS1.0 A, F, F
MLA SSL2 SSL3 TLS1.0 F
My Ebay   SSL3 TLS1.0 B
MySpace1   SSL3 TLS1.0 A-, B
Noisysquare   SSL3 TLS1.0 B
NYTimes   SSL3 TLS1.0 B
OAPS   SSL3 TLS1.0 B
OHM 2013   SSL3 TLS1.0 B
Open Biblio Jobs   SSL3 TLS1.0 B
OpenEmory   SSL3 TLS1.0 B
OpenPetition   SSL3 TLS1.0 A
OpenPrinting   SSL3 TLS1.0 B
Pad von Foebud   SSL3 TLS1.0 C
Pad von Riseup.net   SSL3 TLS1.0 A
Pad von Subsignal.org   SSL3 TLS1.0 F
PeerJ   SSL3 TLS1.0 B
PennState Scholarsphere   SSL3 TLS1.0 B
phpBB   SSL3 TLS1.0 A
Pinterest   SSL3 TLS1.0 B
Piratenfraktion Berlin   SSL3 TLS1.0 B
Piratenpad   SSL3 TLS1.0 B
PLOS   SSL3 TLS1.0 B
PNC   SSL3 TLS1.0 B
Pollin   SSL3 TLS1.0 C
Project Honeypot SSL2 SSL3 TLS1.0 F
public.resource.org   SSL3 TLS1.0 B
Quitter   SSL3 TLS1.0 B
Realtor   SSL3 TLS1.0 F
Reiseauskunft (Bahn)   SSL3 TLS1.0 B
RFC Editor SSL2 SSL3 TLS1.0 B
Ruby   SSL3 TLS1.0 B
Ruhr-Uni Bochum (RUB)   SSL3 TLS1.0 B
Safe-Mail   SSL3 TLS1.0 F
Schneier.com   SSL3 TLS1.0 B
Scholastica   SSL3 TLS1.0 B
Science Magazine   SSL3 TLS1.0 B
Secunia   SSL3 TLS1.0 B
Securelist SSL2 SSL3 TLS1.0 F
Shop von Tuxpost.de   SSL3 TLS1.0 A
Soundcloud   SSL3 TLS1.0 B
SPD SSL2 SSL3 TLS1.0 F
SpiderOak   SSL3 TLS1.0 B
SSRN SSL2 SSL3 TLS1.0 F
Stackexchange   SSL3 TLS1.0 B
StartSSL   SSL3 TLS1.0 B
Stumbleupon   SSL3 TLS1.0 B
The Engine Room SSL2 SSL3 TLS1.0 B
The Train Line   SSL3 TLS1.0 B
Threatpost   SSL3 TLS1.0 A
Titanpad   SSL3 TLS1.0 C
TLfDI SSL2 SSL3 TLS1.0 F
Torproject.org (Check)   SSL3 TLS1.0 B
TU Chemnitz (Bibliothek)   SSL3 TLS1.0 B
Uberspace   SSL3 TLS1.0 A
Uni Essen Duisburg SSL2 SSL3 TLS1.0 F
Uni Jena   SSL3 TLS1.0 B
Uni Mainz   SSL3 TLS1.0 B
Uni Marburg   SSL3 TLS1.0 B
Uni Muenchen SSL2 SSL3 TLS1.0 B
University of Fribourg SSL2 SSL3 TLS1.0 F
Verbraucher sicher online   SSL3 TLS1.0 B
Verdi   SSL3 TLS1.0 B
Vine   SSL3 TLS1.0 A
Vollmar SSL2 SSL3 TLS1.0 F
Weblogs at Harvard Law School SSL2 SSL3 TLS1.0 F
WebPG   SSL3 TLS1.0 F
Wells Fargo   SSL3 TLS1.0 B
xkcd   SSL3 TLS1.0 B
xmpp.net   SSL3 TLS1.0 B
Yahoo!   SSL3 TLS1.0 B
Yammer   SSL3 TLS1.0 B
Yelp SSL2 SSL3 TLS1.0 B
Zedat FU Berlin   SSL3 TLS1.0 B
Zotero   SSL3 TLS1.0 B
1

Verschiedene IP-Adressen. Eine unterstützt TLS 1.2, die andere nicht.

Musterschreiben an Webseiten-Betreiber

TODO

Selbst testen

OpenSSL

Jemand fragte, ob man nicht gleich viele Seiten auf einmal testen kann. Unter GNU/Linux und ähnlichen Systemen geht das u.a. mit OpenSSL. Die untenstehenden Zeilen sind eine Idee, wie das gemacht werden kann. Dabei fehlt natürlich die Logik ringsrum.

for i in {tls1_2,tls1_1,tls1,ssl3,ssl2}; do
   openssl s_client -$i -connect $host:$port
done

SSLScan

Das Programm sslscan tut, was der Name vermuten lässt. Es scannt SSL-Seiten. Die bisherige Version testet nur bis TLS 1.0. Bei Github liegt ein Fork von sslscan. Der kann auch TLS 1.1 und 1.2 testen. Bei DinoTools.de findet ihr eine Beschreibung zur Benutzung von sslscan.

Ich nutze sslscan, um mir die unterstützten Versionen ausgeben zu lassen:

sslscan --no-failed example.com | awk '/Accepted / { print $2 }' | sort -u
SSLv3
TLS11
TLS12
TLSv1

Konfiguration des Webservers

nginx