Es kann mühsam sein zu prüfen, welche Zertifikatkette ein HTTPS-Server ausliefert. Die Ansicht im Webbrowser ist unzuverlässig, da der Browser unter Umständen eigene Zertifikatketten bei der Anzeige verwendet.
Ein direkter Test ist daher sinnvoll. Wir haben ein kleines Testprogramm entwickelt, das als Bash-Skript unter Linux, MacOS X und Cygwin (Windows, mit installiertem openssl und curl) läuft.
Es ist verfügbar unter: https://info.pca.dfn.de/doc/testserver.sh
Das Skript stellt eine Verbindung zu einem zu testenden Server her, und untersucht die Zertifikate, die beim Verbindungsaufbau vom Server übermittelt werden. Gegebenenfalls werden Handlungsempfehlungen ausgegeben.
Zusätzlich testet das Skript, ob auf dem Server das unsichere SSL 3.0 aktiviert ist.
Das Skript wird mit dem Namen des zu testenden Servers aufgerufen, optional mit dem Port. Als Beispiel (verkürzte Ausgabe):
$ ./testserver.sh www.dfn-cert.de 443
================================================
Informationen:
--------------
Server: www.dfn-cert.de
www.dfn-cert.de has address 193.174.13.92
www.dfn-cert.de has IPv6 address 2001:638:714:2801:2::
Port: 443
SSLv3 ist abgeschaltet (gut!)
Serverzertifikat:
SubjectDN: C=DE, ST=Hamburg, L=Hamburg, O=DFN-CERT Services GmbH, CN=www.dfn-cert.de
Seriennummer: 6586080966759854 (0x176601787c55ae)
[...]
================================================
Ergebnisse:
Kette OK: www.dfn-cert.de:443 hat eine korrekte SHA-2 Konfiguration von Serverzertifikat und Zertifikatkette. Es ist nichts weiter zu tun.
SSLv3 ist abgeschaltet (gut!)
(jbr, 17.10.2014)