De multe ori trebuie să depanați problemele legate de SSL/TLS în timp ce lucrați ca inginer web, webmaster sau administrator de sistem.
Există o mulțime de instrumente online pentru certificatul SSL, Testarea vulnerabilităților SSL/TLS, dar atunci când vine vorba de testarea URL-ului, VIP-ului, IP-ului bazat pe intranet, atunci acestea nu vor fi de ajutor.
Pentru a depana resursele intranet, aveți nevoie de un software/instrumente autonome pe care să le instalați în rețea și să efectuați un test necesar.
Pot exista diverse scenarii, cum ar fi:
- Întâmpinați probleme în timpul implementării certificatului SSL cu serverul web
- Doriți să vă asigurați că se utilizează cel mai recent protocol/protocol special
- După implementare, doriți să verificați configurația
- Risc de securitate găsit în rezultatul unui test de penetrare
Următoarele instrumente vor fi utile pentru a depana astfel de probleme.
Cuprins
DeepViolet
DeepViolet este un instrument de scanare SSL/TLS bazat pe Java, disponibil în binar sau puteți compila cu codul sursă.
Dacă sunteți în căutarea unei alternative a SSL Labs pentru a fi utilizată într-o rețea internă, atunci DeepViolet ar fi o alegere bună. Scanează pentru următoarele.
- Cifrul slab expus
- Algoritm de semnare slab
- Starea de revocare a certificării
- Starea de expirare a certificatului
- Vizualizați lanțul de încredere, o rădăcină autosemnată
Diagnosticare SSL
Evaluați rapid puterea SSL a site-ului dvs. web. Diagnosticare SSL extrage protocol SSL, suite de criptare, heartbleed, BEAST.
Nu doar HTTPS, dar puteți testa puterea SSL pentru SMTP, SIP, POP3 și FTPS.
SSLyze
SSLyze este o bibliotecă Python și un instrument de linie de comandă care se conectează la punctul final SSL și efectuează o scanare pentru a identifica orice configurație greșită SSL/TLS.
Scanarea prin SSLyze este rapidă, deoarece un test este distribuit prin mai multe procese. Dacă sunteți dezvoltator sau doriți să integrați aplicația existentă, atunci aveți opțiunea de a scrie rezultatul în format XML sau JSON.
SSLyze este disponibil și în Kali Linux. Dacă sunteți nou în Kali, verificați cum să instalați Kali Linux pe VMWare Fusion.
OpenSSL
Nu subestimați OpenSSL, unul dintre instrumentele independente puternice disponibile pentru Windows sau Linux pentru a efectua diverse sarcini legate de SSL, cum ar fi verificarea, generarea CSR, conversia certificării etc.
Scanare SSL Labs
Iubești Qualys SSL Labs? Nu eşti singur; si mie imi place.
Dacă sunteți în căutarea unui instrument de linie de comandă pentru SSL Labs pentru testare automată sau în bloc, atunci Scanare SSL Labs ar fi de folos.
Scanare SSL
Scanare SSL este compatibil cu Windows, Linux și MAC. Scanarea SSL ajută rapid la identificarea următoarelor valori.
- Evidențiați cifrurile SSLv2/SSLv3/CBC/3DES/RC4/
- Raportați cifruri slabe (<40 de biți), nule/anonime
- Verificați compresia TLS, vulnerabilitatea heartbleed
- și mult mai mult…
Dacă lucrați la probleme legate de cifrare, atunci o scanare SSL ar fi un instrument util pentru a accelera depanarea.
tipstrick.ro TLS Scanner API
O altă soluție ingenioasă pentru webmasteri poate fi tipstrick.ro TLS Scanner API.
Aceasta este o metodă robustă de a verifica protocolul TLS, CN, SAN și alte detalii ale certificatului într-o fracțiune de secundă. Și puteți încerca acest lucru fără riscuri cu un abonament fără costuri pentru până la 3000 de solicitări pe lună.
Cu toate acestea, nivelul premium de bază adaugă o rată de solicitare mai mare și 10.000 apeluri API pentru doar 5 USD pe lună.
TestSSL
După cum indică numele, TestSSL este un instrument de linie de comandă compatibil cu Linux sau OS. Testează toate valorile esențiale și oferă statut, fie el bun sau rău.
Ex:
Testing protocols via sockets except SPDY+HTTP2 SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 offered TLS 1.1 offered TLS 1.2 offered (OK) SPDY/NPN h2, spdy/3.1, http/1.1 (advertised) HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered) Testing ~standard cipher categories NULL ciphers (no encryption) not offered (OK) Anonymous NULL Ciphers (no authentication) not offered (OK) Export ciphers (w/o ADH+NULL) not offered (OK) LOW: 64 Bit + DES encryption (w/o export) not offered (OK) Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK) Triple DES Ciphers (Medium) not offered (OK) High encryption (AES+Camellia, no AEAD) offered (OK) Strong encryption (AEAD ciphers) offered (OK) Testing server preferences Has server cipher order? yes (OK) Negotiated protocol TLSv1.2 Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256) Cipher order TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA AES256-SHA256 Testing vulnerabilities Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension CCS (CVE-2014-0224) not vulnerable (OK) Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK) Secure Renegotiation (CVE-2009-3555) not vulnerable (OK) Secure Client-Initiated Renegotiation not vulnerable (OK) CRIME, TLS (CVE-2012-4929) not vulnerable (OK) BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested Can be ignored for static pages or if no secrets in the page POODLE, SSL (CVE-2014-3566) not vulnerable (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK) SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK) FREAK (CVE-2015-0204) not vulnerable (OK) DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK) make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2 LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
După cum puteți vedea, acoperă un număr mare de vulnerabilități, preferințe de criptare, protocoale etc. TestSSL.sh este disponibil și într-un imagine docker.
Dacă trebuie să faceți o scanare de la distanță folosind testssl.sh, atunci puteți încerca tipstrick.ro TLS Scanner.
Scanare TLS
Puteți fie să construiți TLS-Scan din sursă sau descărcați binar pentru Linux/OSX. Extrage informații despre certificat de pe server și imprimă următoarele valori în format JSON.
- Verificări de verificare a numelui de gazdă
- Verificări de compresie TLS
- Verificări de enumerare a versiunilor de cifrare și TLS
- Verificări de reutilizare a sesiunii
Suportă protocoale TLS, SMTP, STARTTLS și MySQL. De asemenea, puteți integra rezultatul rezultat într-un analizor de jurnal precum Splunk, ELK.
Scanare cifrată
Un instrument rapid pentru a analiza ce site-ul web HTTPS acceptă toate cifrurile. Scanare cifrată are, de asemenea, o opțiune de a afișa rezultatul în format JSON. Este wrapper și în interior utilizează comanda OpenSSL.
Audit SSL
Audit SSL este un instrument open-source pentru a verifica certificatul și pentru a suporta protocolul, cifrurile și calificarea bazate pe SSL Labs.
Sper că instrumentele open-source de mai sus vă ajută să integrați scanarea continuă cu analizatorul de jurnal existent și să ușurați depanarea.