11 BEZPŁATNYCH narzędzi do rozwiązywania problemów SSL/TLS dla webmastera

Pracując jako inżynier stron internetowych, webmaster lub administrator systemu, często musisz debugować problemy związane z SSL/TLS.

Istnieje wiele narzędzi online do certyfikatu SSL, testowania podatności SSL/TLS, ale jeśli chodzi o testowanie intranetowych adresów URL, VIP, IP, nie będą one pomocne.

Do rozwiązywania problemów z zasobami intranetu potrzebne jest samodzielne oprogramowanie/narzędzia, które można zainstalować w sieci i przeprowadzić niezbędne testy.

Mogą istnieć różne scenariusze, takie jak:

  • Problemy podczas wdrażania certyfikatu SSL z serwerem WWW
  • Chcesz mieć pewność, że używany jest najnowszy/konkretny szyfr?
  • Po wdrożeniu, chcesz zweryfikować konfigurację
  • Ryzyko bezpieczeństwa wykryte w wyniku testu penetracyjnego

Poniższe narzędzia będą przydatne do rozwiązywania takich problemów.

Głęboki fiolet

Głęboki fiolet to narzędzie do skanowania SSL/TLS oparte na javie, dostępne w postaci binarnej lub można je skompilować za pomocą kodu źródłowego.

Jeśli szukasz alternatywy dla SSL Labs do użycia w sieci wewnętrznej, DeepViolet będzie dobrym wyborem. Skanuje w poszukiwaniu następujących elementów.

  • Odsłonięty słaby szyfr
  • Słaby algorytm podpisywania
  • Status cofnięcia certyfikatu
  • Status ważności certyfikatu
  • Wizualizuj łańcuch zaufania, samopodpisany root

Diagnostyka SSL

Szybko oceń siłę SSL swojej witryny internetowej. Diagnostyka SSL wyodrębnij protokół SSL, zestawy szyfrów, heartbleed, BEAST.

Nie tylko HTTPS, ale możesz przetestować siłę SSL dla SMTP, SIP, POP3 i FTPS.

SSLyzuj

SSLyzuj to biblioteka Pythona i narzędzie wiersza poleceń, które łączy się z punktem końcowym SSL i wykonuje skanowanie w celu zidentyfikowania wszelkich błędnych konfiguracji SSL/TLS.

Skanowanie przez SSLyze jest szybkie, ponieważ test jest rozprowadzany przez wiele procesów. Jeśli jesteś programistą lub chcesz zintegrować się z istniejącą aplikacją, masz możliwość zapisania wyniku w formacie XML lub JSON.

SSLyze jest również dostępny w Kali Linux. Jeśli jesteś nowy w Kali, sprawdź, jak zainstalować Kali Linux na VMWare Fusion.

OpenSSL

Nie lekceważ OpenSSL, jednego z potężnych samodzielnych narzędzi dostępnych dla systemów Windows lub Linux do wykonywania różnych zadań związanych z SSL, takich jak weryfikacja, generowanie CSR, konwersja certyfikacji itp.

Skanowanie w laboratoriach SSL

Kochasz Qualys SSL Labs? Nie jesteś sam; Też to uwielbiam.

Jeśli szukasz narzędzia wiersza poleceń dla SSL Labs do testów automatycznych lub zbiorczych, to Skanowanie w laboratoriach SSL byłoby przydatne.

Skanowanie SSL

Skanowanie SSL jest kompatybilny z systemami Windows, Linux i MAC. Skanowanie SSL pomaga szybko zidentyfikować następujące metryki.

  • Zaznacz szyfry SSLv2/SSLv3/CBC/3DES/RC4/
  • Zgłoś słabe (<40 bitów), zerowe/anonimowe szyfry
  • Zweryfikuj kompresję TLS, podatność na heartbleed
  • i wiele więcej…

Jeśli pracujesz nad problemami związanymi z szyfrowaniem, skanowanie SSL będzie pomocnym narzędziem do szybkiego śledzenia rozwiązywania problemów.

newsblog.pl TLS Scanner API

Innym fajnym rozwiązaniem dla webmasterów może być wdzzwdz TLS Scanner API.

Jest to solidna metoda sprawdzania protokołu TLS, CN, SAN i innych szczegółów certyfikatu w ułamku sekundy. Możesz wypróbować to bez ryzyka dzięki bezpłatnej subskrypcji do 3000 żądań miesięcznie.

Jednak podstawowa warstwa premium dodaje wyższą stawkę żądań i 10 tys. wywołań interfejsu API za jedyne 5 USD miesięcznie.

TestSSL

Jak sama nazwa wskazuje, TestSSL to narzędzie wiersza poleceń kompatybilne z systemem Linux lub OS. Testuje wszystkie podstawowe wskaźniki i nadaje status, dobry lub zły.

Były:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Jak widać, obejmuje dużą liczbę luk w zabezpieczeniach, preferencje szyfrowania, protokoły itp. TestSSL.sh jest również dostępny w obraz dokowany.

Jeśli potrzebujesz wykonać zdalne skanowanie za pomocą testingsl.sh, możesz wypróbować newsblog.pl TLS Scanner.

Skanowanie TLS

Możesz albo budować Skanowanie TLS ze źródeł lub pobierz plik binarny dla Linux/OSX. Wyodrębnia informacje o certyfikacie z serwera i drukuje następujące metryki w formacie JSON.

  • Weryfikacja nazwy hosta
  • Kontrole kompresji TLS
  • Sprawdzenie wyliczenia wersji szyfrowania i TLS
  • Sprawdzanie ponownego wykorzystania sesji

Obsługuje protokoły TLS, SMTP, STARTTLS i MySQL. Możesz także zintegrować wynikowe dane wyjściowe z analizatorem logów, takim jak Splunk, ELK.

Skanowanie szyfrów

Szybkie narzędzie do analizy tego, co witryna HTTPS obsługuje wszystkie szyfry. Skanowanie szyfrów ma również opcję wyświetlania danych wyjściowych w formacie JSON. Jest to opakowanie i wewnętrznie wykorzystujące polecenie OpenSSL.

Audyt SSL

Audyt SSL to narzędzie typu open source do weryfikacji certyfikatu i obsługi protokołu, szyfrowania i oceny w oparciu o SSL Labs.

Mam nadzieję, że powyższe narzędzia typu open source pomogą Ci zintegrować ciągłe skanowanie z istniejącym analizatorem logów i ułatwią rozwiązywanie problemów.