11 ZDARMA SSL/TLS nástrojů pro odstraňování problémů pro webmastery

autor:
Tweet
Share
Share
Pin

Při práci webového inženýra, webmastera nebo správce systému často potřebujete ladit problémy související s SSL/TLS.

Existuje spousta online nástrojů pro certifikát SSL, testování zranitelností SSL/TLS, ale pokud jde o testování intranetových URL, VIP, IP, nebudou užitečné.

K odstraňování problémů s intranetovými zdroji potřebujete samostatný software/nástroje, které můžete nainstalovat do své sítě a provést nezbytný test.

Mohou existovat různé scénáře, například:

  • Problémy při implementaci certifikátu SSL s webovým serverem
  • Chcete se ujistit, že se používá nejnovější/konkrétní šifrovací protokol
  • Po implementaci si přejete ověřit konfiguraci
  • Bezpečnostní riziko zjištěné ve výsledku penetračního testu

Následující nástroje budou užitečné pro řešení takových problémů.

DeepViolet

DeepViolet je skenovací nástroj SSL/TLS založený na Javě, který je k dispozici v binární podobě, nebo jej můžete zkompilovat se zdrojovým kódem.

Pokud hledáte alternativu SSL Labs pro použití v interní síti, pak by DeepViolet byla dobrá volba. Vyhledává následující.

  • Slabá šifra odhalena
  • Slabý podpisový algoritmus
  • Stav odvolání certifikace
  • Stav vypršení platnosti certifikátu
  • Vizualizujte řetězec důvěry, kořenový adresář s vlastním podpisem

Diagnostika SSL

Rychle vyhodnoťte sílu SSL vašeho webu. Diagnostika SSL extrahovat protokol SSL, šifrovací sady, heartbleed, BEAST.

Nejen HTTPS, ale můžete otestovat sílu SSL pro SMTP, SIP, POP3 a FTPS.

SSLyze

SSLyze je knihovna Pythonu a nástroj příkazového řádku, který se připojuje ke koncovému bodu SSL a provádí skenování, aby identifikoval jakoukoli chybnou konfiguraci SSL/TLS.

  Co je to periskopická čočka pro fotoaparáty smartphonů?

Skenování přes SSLyze je rychlé, protože test je distribuován prostřednictvím více procesů. Pokud jste vývojář nebo byste se chtěli integrovat se svou stávající aplikací, pak máte možnost napsat výsledek ve formátu XML nebo JSON.

SSLyze je k dispozici také v Kali Linuxu. Pokud jste v Kali noví, podívejte se, jak nainstalovat Kali Linux na VMWare Fusion.

OpenSSL

Nepodceňujte OpenSSL, jeden z výkonných samostatných nástrojů dostupných pro Windows nebo Linux k provádění různých úkolů souvisejících s SSL, jako je ověřování, generování CSR, převod certifikací atd.

SSL Labs Scan

Máte rádi Qualys SSL Labs? Nejsi sám; Taky to mám moc rád.

Pokud hledáte nástroj příkazového řádku pro SSL Labs pro automatizované nebo hromadné testování, pak SSL Labs Scan by bylo užitečné.

SSL skenování

SSL skenování je kompatibilní s Windows, Linux a MAC. SSL Scan rychle pomáhá identifikovat následující metriky.

  • Zvýrazněte šifry SSLv2/SSLv3/CBC/3DES/RC4/
  • Nahlásit slabé (<40bit), null/anonymní šifry
  • Ověřte komprese TLS, zranitelnost heartbleed
  • a mnohem víc…

Pokud pracujete na problémech souvisejících se šifrou, pak by skenování SSL bylo užitečným nástrojem pro rychlé sledování řešení problémů.

etechblog.cz TLS Scanner API

Dalším šikovným řešením pro webmastery může být etechblog.cz TLS Scanner API.

Toto je robustní metoda pro kontrolu protokolu TLS, CN, SAN a dalších podrobností certifikátu ve zlomku sekundy. A můžete to vyzkoušet bez rizika s bezplatným předplatným až pro 3000 požadavků měsíčně.

Základní prémiová úroveň však přidává vyšší míru požadavků a volání 10K API za pouhých 5 $ měsíčně.

  Jak změnit tlačítko Echo na tlačítko Home Lockdown

TestSSL

Jak název napovídá, TestSSL je nástroj příkazového řádku kompatibilní s Linuxem nebo OS. Testuje všechny základní metriky a dává stav, ať už dobrý nebo špatný.

Příklad:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Jak vidíte, pokrývá velké množství zranitelností, předvoleb šifrování, protokolů atd. TestSSL.sh je k dispozici také v obrázek dockeru.

  Oprava Unity Web Player nefunguje

Pokud potřebujete provést vzdálené skenování pomocí testssl.sh, můžete zkusit etechblog.cz TLS Scanner.

TLS skenování

Buď můžete stavět TLS-Scan ze zdroje nebo si stáhněte binární soubor pro Linux/OSX. Extrahuje informace o certifikátu ze serveru a vytiskne následující metriky ve formátu JSON.

  • Kontroly ověření názvu hostitele
  • Kontrola komprese TLS
  • Kontroly výčtu verzí šifry a TLS
  • Kontroly opětovného použití relace

Podporuje protokoly TLS, SMTP, STARTTLS a MySQL. Výsledný výstup můžete také integrovat do analyzátoru protokolů, jako je Splunk, ELK.

Skenování šifry

Rychlý nástroj pro analýzu toho, co web HTTPS podporuje všechny šifry. Skenování šifry má také možnost zobrazit výstup ve formátu JSON. Je to obal a interně pomocí příkazu OpenSSL.

Audit SSL

SSL audit je nástroj s otevřeným zdrojovým kódem pro ověření certifikátu a podporu protokolu, šifer a hodnocení na základě SSL Labs.

Doufám, že výše uvedené nástroje s otevřeným zdrojovým kódem vám pomohou integrovat nepřetržité skenování s vaším stávajícím analyzátorem protokolů a usnadní odstraňování problémů.