Überprüfe deine Domain-Sicherheit mit Mozilla Observatory

In den letzten beiden Beiträgen habe ich euch zwei Tools vorgestellt, die ich oft nutze. Heute möchte ich mit einem dritten Tool weitermachen, das ist bisher im Beitrag Bessere Sicherheit für WordPress mit sicheren Server-Headern nur kurz erwähnt habe: das Mozilla Observatory Tool.

HTTP Observatory

Wenn ihr das Tool zum ersten mal für eine Domain ausführt, dann erhaltet ihr zuerst eine Übersicht zur HTTP-Sicherheit. Über diesen Teil habe ich auch schon in meinem vorherigen Beitrag geschrieben. Die Scan Summary könnt hierbei wie folgt aussehen:

Mozilla HTTP Observatory Sacn Summary

Wie der Name des Tools schon erahnen lässt werden die Test über HTTP Requests ausgeführt. Am Ende der ersten Seite findet ihr daher auch die Raw Server Headers für den Request. Für viele der Werte, die sie hier seht, findet ihr in den Abschnitten Test Scores und Content Security Policy Analysis wieder. Für jeden Link in den Testergebnissen findet ihr auch einen Link zu der „Mozilla InfoSec“ Seite.

TLS Observatory

Im zweiten Tab werden euch Details zum Zertifikat präsentiert. In der Zusammenfassung werdet ihr vielleicht das „Compatibility Level“ wiedererkennen. Darüber hatte in in meinem letzten Beitrag geschrieben. Hier findet ihr unter anderem auch Informationen zur Gültigkeit und zur Ablaufzeit des Zertifikats. Hinter dem Link „Certificate Explainer“ findet ihr noch mehr „geekige“ Details zum Zertifikat. Am Ende der Seite gibt es einen Link zu dem Tool, welches ich in meinem Beitrag Die perfekte SSL-Konfiguration für deinen Server beschrieben habe.

SSH Observatory

Den Test in diesem Tab müsst ihr manuell starten. Anschließend findet ihr ein paar Details zur generellen SSH-Konfiguration und ob dieser den empfohlenen Einstellungen von Mozilla entsprechen.

Third-party Tests

In diesem letzten Tab findet ihr vermutlich ein paar bekannte Tolls wieder. Das erste sind die ssllabs.com Testergebnisse. Das zweite Tool zeigt das Ergebnis von ImmuniWeb. Diese Website hat ebenfalls sehr viele Details zu eurer Website-Sicherheit. Das dritte Tool ist von tls.imirhil.fr, welches sich auf die SSL Ciphers konzentriert. Das securityheaders.com Tool zeigt ebenfalls viele Details an, die ihr auch schon in anderen Tabs wiederfindet. Das letzte Third-Party-Tool hstspreload.org überprüft, ob die Domain in der HSTS-Preload-List enthalten ist.

Fazit

Mozilla Observatory ist ein tolles Open Source Tool, welches ihr verwenden könnt, um die Sicherheit eurer Website zu überprüfen. Es gibt weiterhin ein CLI Tool, mit dem ihr die gleichen Scan ausführen könnt. Ihr könnt über das GitHub Repository zur Website auch an dieser mitwirken. Wenn ihr also euren eigenen Webserver verwaltet, dann kann ich euch sehr empfehlen mit diesem Tool mal einen Scan eurer Domain durchzuführen.

Veröffentlicht von

Bernhard ist fest angestellter Webentwickler, entwickelt in seiner Freizeit Plugins, schreibt in seinem Blog über WordPress und andere Themen, treibt sich gerne bei den WP Meetups in Berlin und Potsdam herum und läuft nach Feierabend den ein oder anderen Halbmarathon.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert