Die Stiftung Warentest bietet einen Onlinedienst zum prüfen der SSL Sicherheit einer Webseite an.

http://www.test.de/themen/computer-telefon/ssl_check

In einem guten Browser wird dies allerdings auch übersichtlich angezeigt, wofür das Ganze also?

Das wird vielleicht klar, wenn wir mal ein Beispiel betrachten. Die Webseite https://www.sofortueberweisung.de/ ist auch SSL geschützt. Schauen wir uns an, was der Test dort ausspuckt:

Vom Server unterstützte SSL-Version: 3
Bevorzugte Verschlüsselung: Triple-DES (168/112 Bit)

Wenn ich allerdings mit meinem Browser die Webseite betrete erhalte ich eine andere Information

Woher kommt das?

Dafür muss man sich das SSL (Secure Sockets Layer) bzw. TLS (Transport Layer Security) Protokoll etwas genauer anschauen. Bei der Kontaktaufnahme teilt der Client dem Server mit, welche sym. / asm. Verschlüsselungskombinationen er „versteht“. Diese werden auch Ciphersuites genannt. Mein Browser teilt also dem Server der Webseite mit, das er AES 256 bevorzugt was auch durchaus in meinem Interesse ist.

Aber angenommen ich wäre einem Man-in-the-middle Angriff ausgesetzt, d.h. jemand kann meinen Traffic komplett auslesen und verändern, dann hätte er bei SSL nur dann eine Chance, wenn die Verschüsselung unsicher ist. Wenn also der Bösewicht in der Mitte dafür sorgt das eine schwache Verschlüsselung (CipherSuite) ausgesucht wird, wäre er in einer eindeutig besseren Lage als vorher.

Aus diesem Grund wählt der SSL Check eine möglichst schlechte Verschlüsselung aus um herauszufinden wo der Server noch mitspielt und wann nicht mehr. Würde er also DES (effektiv 56 Bit) und gleichzeitig AES (128 – 256) unterstützen, wäre der SSL Schutz vielleicht nicht mehr so sicher, wie er auf den ersten Blick erscheint.

Daher ist dieser Check, obwohl er vielleicht auf den ersten Blick nicht so wichtig erscheint, eine gute Sache.