Cipher Suites

Het gebruik van SSL gaat verder dan alleen het SSL certificaat installeren, ook de serverinstellingen zijn van belang. Een belangrijk onderdeel van deze serversinstellingen zijn de cipher suites.

Wat is een cipher suite?

Een cipher suite is een methode die gebruikt wordt om een versleutelde verbinding op te zetten volgens het TLS protocol. Het TLS protocol werkt volgens een vastgestelde combinatie van verschillende algoritmes die worden gebruikt voor het versleutelde verkeer tussen server en gebruiker. Een algoritme is een serie instructies voor het uitvoeren van een berekening, waarbij de invoer na een bepaald aantal stappen een bepaalde uitvoer heeft.

Een cipher suite bepaalt hoe het verkeer tussen een server en een client wordt versleuteld en verwerkt. Een cipher suite bevat o.a.

  • een key exchange algoritme dat vastlegt hoe de authenticatie plaatsvindt tijdens de SSL handshake, bijvoorbeeld ECDHE_RSA.
  • een encryption algoritme dat bepaalt hoe het uitgewisselde verkeer wordt versleuteld, bijvoorbeeld AES_128_GCM.
  • een algoritme voor het maken van cryptografische hashes van (blokken van) de uitgewisselde data, bijvoorbeeld SHA-256.

Het SSL/TLS protocol kent verschillende cipher suites om een versleutelde verbinding op te zetten. Als een browser (client) een versleutelde verbinding wil opzetten met een server, vraagt de browser aan de server welke cipher suites beschikbaar zijn. Zodra de cipher suites bekend zijn, zal een browser automatisch de sterkste cipher suite gebruiken. Een aantal van deze cipher suites zijn inmiddels zwak en onveilig bevonden. Ondanks dat de zwakke cipher suites niet meer worden aangeraden zijn deze vaak nog wel aanwezig op veel servers en clients. Dit maakt het omleiden en afluisteren van verkeer mogelijk. Het is daarom belangrijk om onveilige cipher suites op je server uit te schakelen. Regelmatig komen er nieuwe kwetsbaarheden aan het licht. Om de veiligheid van het verkeer tussen de server en de browser te waarborgen is het verstandig regelmatig te checken welke cipher suites nog voldoen. Dit kan bijvoorbeeld via SSLLabs.

Cipher suites instellen

De stappen voor het instellen van cipher suites verschillen per webserver:

 

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.