La pubblicazione originale è di 6-7 ore fa' ed è in funzione della pagina sotto e dei contenuti associati alla 7° Guest Star:)
Restano validi all'infinito i contenuti di ieri ed oggi per continuare la presa per il culo pensavo d'inserire le nazioni di 1 solo giorno:)...ho aperto Blogger e sono andato su questo spazio(ne sono 7 di nazioni,in 1 giorno:),poi dovevo fare la stessa cosa su AV pero' per sbaglio non ho inserito gli scritti ma l'altro principale:)...ho visto solo l'overview e mi sono commosso:)...non è una cazzata ma è tutto vero e cosi' ho scelto di pubblicare la pagina:)...non è a livello della precedente pero' è sempre importante,sopratutto per i suoi contenuti(ovviamente la stessa ragione vale per questi scritti particolari in senso completo pero' lo spazio AV storico ha un gap in piu' perche' non ha avuto nemeno pubblicazioni:)
Quelli sotto sono "una sintesi" dei passaggi tecnici alla base delle analisi SSL e ho scelto i principali nella lingua originale e sono semplici da comprendere (si puo eventualmente utilizzare anche la traduzione della pagina).Nel caso di "ispezione certificato" la sua assenza (oppure lo scambio di chiavi cifrate non corrispondenti o semplici da "forzare") da lo score immediato di zero.E' in pratica la pagina "apparentemente senza risultati" mentre è questo il motivo per cui non è inserita nessuna valutazione(cioe' non avendo il certificato idoneo è inutile fare tutti gli altri passaggi d'analisi).Il test dura circa 2 minuti e in questo sono compresi tutti i passaggi di verifica sotto e poi tutti gli strumenti elencati.Altri particolari sono nella 2° security dove è sistemato lo strumento.Tutto questo serve per le pubblicazioni precedenti e per la 7° Guest Star e sara' un po' diversa da quella che pensavo di fare perche' la pagina sopra è solo un esempio (ha comunque una valutazione B nell' overall) in quanto avra' tantissima compagnia:)...penso di fare la 7° Guest Star in questi giorni e posso solo anticipare che i contenuti sono gia' pubblici ed hanno gia' "l'imprimatur" del Top OverAll:)...Debbo solo metterli insieme in una pubblicazione:)...
- Methodology Overview
Our approach consists of four steps:
1. We first look at a certificate to verify that it is valid and trusted.
2. We inspect server configuration in three categories:
a. Protocol support
b. Key exchange support
c. Cipher support
3. We combine the category scores into an overall score (expressed as a number between
0 and 100). A zero in any category will push the overall score to zero. Then,
a letter grade is calculated, using the table below.
4. We then apply a series of rules (documented in the Changes section) to handle
some aspects of server configuration that cannot be expressed via numerical scoring.
Most rules will reduce the grade (to A-, B, C, D,) if they encounter an
unwanted feature.
- Certificate Inspection
Server certificate is often the weakest point of an SSL server configuration.
• Domain name mismatch
• Certificate not yet valid
• Certificate expired
• Use of a self-signed certificate
• Use of a certificate that is not trusted (unknown CA or some other validation error)
• Use of a revoked certificate
• Insecure certificate signature (MD2 or MD5)
• Insecure key
- Scoring
SSL is a complex hybrid protocol with support for many features across several phases
of operation.
Protocol support 30%
Key exchange 30%
Cipher strength 40%
- Protocol Support
First, we look at the protocols supported by an SSL server. For example, both SSL 2.0
and SSL 3.0 have known weaknesses. Because a server can support several protocols, we
use the following algorithm to arrive to the final score:
1. Start with the score of the best protocol.
2. Add the score of the worst protocol.
3. Divide the total by 2.
Protocol Score
SSL 2.0 0%
SSL 3.0 80%
TLS 1.0 90%
TLS 1.1 95%
TLS 1.2 100%
- Key Exchange
The key exchange phase serves two functions. One is to perform authentication, allowing
at least one party to verify the identity of the other party
Key exchange aspect Score
Weak key (Debian OpenSSL flaw) 0%
Anonymous key exchange (no authentication) 0%
Key or DH parameter strength < 512 bits 20%
Exportable key exchange (limited to 512 bits) 40%
Key or DH parameter strength < 1024 bits (e.g., 512) 40%
Key or DH parameter strength < 2048 bits (e.g., 1024) 80%
Key or DH parameter strength < 4096 bits (e.g., 2048) 90%
Key or DH parameter strength >= 4096 bits (e.g., 4096) 100%
- Cipher Strength
To break a communication session, an attacker can attempt to break the symmetric cipher
used for the bulk of the communication.
Cipher strength Score
0 bits (no encryption) 0%
< 128 bits (e.g., 40, 56) 20%
< 256 bits (e.g., 128, 168) 80%
>= 256 bits (e.g., 256) 100%
