Sicherheitsprobleme rund um SSL/TLS
Qualys ermöglicht API-Zugriff auf ihren Dienst "SSL Labs", um den Schutz von Websites zu erleichtern
Mit den neuen APIs und einem neuen, kostenlosen Open-Source-Tool können Sicherheitsmanager ihre Websites automatisiert auf SSL-Schwachstellen testen
(22.04.15) – Qualys stellte für ihren Dienst "Qualys SSL Labs" jetzt kostenlose Analyse-APIs sowie ein kostenloses Open-Source-Tool bereit, um Massentests und automatisiertes Testen von Websites zu ermöglichen. Diese Erweiterungen erbringen die gleichen Resultate wie die manuelle Untersuchung bei SSL Labs, versetzen Sicherheitsmanager jedoch in die Lage, mehrere Websites zu verwalten, die Tests zusammenzuführen, Veränderungen in den Ergebnissen zu erkennen und Benachrichtigungen zu ablaufenden Zertifikaten zu erhalten.
Die heutige Infrastruktur ist komplex und hoch dynamisch. Ständig gibt es Veränderungen – zum Beispiel können Software-Updates einen Teil der Konfigurationen zurücksetzen, was zu Schwachstellen in Websites führen kann. Mit Qualys SSL Labs kann jeder Nutzer seine SSL-Implementierungen testen, um sie zu optimieren und seine Websites vor potenziellen Angriffen zu schützen.
"Die Sicherheit unserer Kunden hat für uns höchste Priorität", sagt David Rockvam, Vice President Marketing bei Entrust. "Mithilfe der neuen API können wir regelmäßig auf SSL-Schwachstellen testen, um zu gewährleisten, dass Kunden durchgehend geschützt sind und ihre Geschäftsabläufe nicht gestört werden. Dies wird die Sicherheit unserer Kunden insgesamt beträchtlich verbessern."
Die neuen Features von SSL Labs sind:
>> APIs zur Serverüberprüfung, die umfassenden Zugriff auf die Servertest-Funktionen von SSL Labs gewähren und den programmatischen Aufruf für eine beliebige Anzahl von Hosts ermöglichen. Mithilfe dieser APIs können Systembetreiber die Bewertung durch SSL Labs mit ihren Sicherheitsrichtlinien integrieren und häufige, automatisierte Tests durchführen.
>> Quelloffenes Kommandozeilen-Tool für alle, die nicht gegen die APIs programmieren möchten. Das in Go geschriebene Tool dient gleichzeitig als Referenz-Client für die APIs, wenn diese in andere Projekte eingebunden werden sollen. Die APIs wurden bereits von anderen Open-Source-Projekten in .Net, Perl und Ruby eingesetzt.
"Für viele Unternehmen ist es schwierig einzuschätzen, wie anfällig sie für die verschiedenen Sicherheitsprobleme rund um SSL/TLS sind, weil sichere Serverkonfigurationen sehr komplex sind und es in diesem Bereich laufend Veränderungen und neu entdeckte Angriffe gibt", erklärt Ivan Ristic, Director of Engineering bei Qualys, Inc. "Mit dem kostenlosen API-Zugriff versetzen wir unsere Nutzer in die Lage, ihre Websites automatisiert zu testen und ihre Konfigurationen regelmäßig zu überprüfen. Auf diese Art und Weise können sie gewährleisten, dass ihre Websites sicher sind und keine SSL-Schwachstellen aufweisen."
Darüber hinaus arbeitet Qualys mit Domain-Namen-Registraren, Zertifizierungsstellen und großen Infrastrukturanbietern zusammen, um ihnen zu helfen, die Sicherheit ihrer Kunden zu überprüfen. Die Registrierungsstelle für die Domain .cz will beispielsweise die neuen APIs nutzen, um die Sicherheit der mehr als eine Million Namen in ihrem Domänenraum zu überwachen. (Qualys: ra)
Qualys: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.