Често се налага да отстранявате грешки, свързани с SSL/TLS, докато работите като уеб инженер, уеб администратор или системен администратор.
Има много онлайн инструменти за SSL сертификат, тестване на SSL/TLS уязвимости, но когато става въпрос за тестване на базирани на интранет URL, VIP, IP, тогава те няма да са полезни.
За да отстраните проблеми с ресурсите на интранет, имате нужда от самостоятелен софтуер/инструменти, които можете да инсталирате във вашата мрежа и да извършите необходимия тест.
Може да има различни сценарии, като:
- Има проблеми по време на прилагането на SSL сертификат с уеб сървър
- Искате да сте сигурни, че се използва най-новият/конкретен шифър, протокол
- Желаете да проверите конфигурацията след внедряването
- Риск за сигурността, открит в резултат от тест за проникване
Следните инструменти ще бъдат полезни за отстраняване на такива проблеми.
Съдържание
DeepViolet
DeepViolet е базиран на Java SSL/TLS инструмент за сканиране, наличен в двоичен код, или можете да компилирате с изходен код.
Ако търсите алтернатива на SSL Labs за използване във вътрешна мрежа, тогава DeepViolet би бил добър избор. Той сканира за следното.
- Разкрит слаб шифър
- Слаб алгоритъм за подписване
- Статус на анулиране на сертификата
- Статус на изтичане на сертификата
- Визуализирайте доверителна верига, самоподписан корен
SSL диагностика
Бързо оценете силата на SSL на вашия уеб сайт. SSL диагностика извличане на SSL протокол, пакети за шифроване, heartbleed, BEAST.
Не само HTTPS, но можете да тествате силата на SSL за SMTP, SIP, POP3 и FTPS.
SSLyze
SSLyze е библиотека на Python и инструмент за команден ред, който се свързва с SSL крайна точка и извършва сканиране, за да идентифицира всяка SSL/TLS неправилна конфигурация.
Сканирането през SSLyze е бързо, тъй като тестът се разпространява през множество процеси. Ако сте разработчик или искате да се интегрирате със съществуващото си приложение, тогава имате възможност да напишете резултата в XML или JSON формат.
SSLyze също се предлага в Kali Linux. Ако не сте запознати с Kali, вижте как да инсталирате Kali Linux на VMWare Fusion.
OpenSSL
Не подценявайте OpenSSL, един от мощните самостоятелни инструменти, налични за Windows или Linux за изпълнение на различни задачи, свързани със SSL, като проверка, генериране на CSR, преобразуване на сертификати и т.н.
SSL Labs сканиране
Харесвате ли Qualys SSL Labs? Не си сам; Аз също го обичам.
Ако търсите инструмент за команден ред за SSL Labs за автоматизирано или масово тестване, тогава SSL Labs сканиране би било полезно.
SSL сканиране
SSL сканиране е съвместим с Windows, Linux и MAC. SSL сканирането бързо помага да се идентифицират следните показатели.
- Маркирайте SSLv2/SSLv3/CBC/3DES/RC4/ шифри
- Докладвайте за слаби (<40 бита), нулеви/анонимни шифри
- Проверете TLS компресия, уязвимост на heartbleed
- и още много…
Ако работите по проблеми, свързани с шифъра, тогава SSL сканирането би било полезен инструмент за бързо проследяване на отстраняването на неизправности.
pctechbg.net API за TLS скенер
Друго чудесно решение за уебмастъри може да бъде pctechbg.net TLS Scanner API.
Това е надежден метод за проверка на TLS протокола, CN, SAN и други подробности за сертификата за част от секундата. И можете да изпробвате това без риск с безплатен абонамент за до 3000 заявки на месец.
Въпреки това, базовото премиум ниво добавя по-висок процент на заявки и 10K API повиквания само за $5 на месец.
Тествайте SSL
Както показва името, Тествайте SSL е инструмент за команден ред, съвместим с Linux или OS. Той тества всички основни показатели и дава статус, независимо дали е добър или лош.
Пример:
Testing protocols via sockets except SPDY+HTTP2 SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 offered TLS 1.1 offered TLS 1.2 offered (OK) SPDY/NPN h2, spdy/3.1, http/1.1 (advertised) HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered) Testing ~standard cipher categories NULL ciphers (no encryption) not offered (OK) Anonymous NULL Ciphers (no authentication) not offered (OK) Export ciphers (w/o ADH+NULL) not offered (OK) LOW: 64 Bit + DES encryption (w/o export) not offered (OK) Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK) Triple DES Ciphers (Medium) not offered (OK) High encryption (AES+Camellia, no AEAD) offered (OK) Strong encryption (AEAD ciphers) offered (OK) Testing server preferences Has server cipher order? yes (OK) Negotiated protocol TLSv1.2 Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256) Cipher order TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA AES256-SHA256 Testing vulnerabilities Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension CCS (CVE-2014-0224) not vulnerable (OK) Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK) Secure Renegotiation (CVE-2009-3555) not vulnerable (OK) Secure Client-Initiated Renegotiation not vulnerable (OK) CRIME, TLS (CVE-2012-4929) not vulnerable (OK) BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested Can be ignored for static pages or if no secrets in the page POODLE, SSL (CVE-2014-3566) not vulnerable (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK) SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK) FREAK (CVE-2015-0204) not vulnerable (OK) DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK) make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2 LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Както можете да видите, той покрива голям брой уязвимости, предпочитания за шифър, протоколи и т.н. TestSSL.sh също е достъпен в докер изображение.
Ако трябва да направите дистанционно сканиране с помощта на testssl.sh, можете да опитате pctechbg.net TLS Scanner.
TLS сканиране
Можете или да изградите TLS-сканиране от източника или изтеглете двоичен файл за Linux/OSX. Той извлича информация за сертификата от сървъра и отпечатва следните показатели във формат JSON.
- Проверки за проверка на името на хоста
- TLS проверки на компресията
- Проверки за изброяване на версии на Cipher и TLS
- Проверки за повторно използване на сесии
Поддържа протоколи TLS, SMTP, STARTTLS и MySQL. Можете също така да интегрирате получения резултат в анализатор на регистрационни файлове като Splunk, ELK.
Сканиране на шифър
Бърз инструмент за анализ на това, което HTTPS уебсайтът поддържа всички шифри. Сканиране на шифър също има опция за показване на изход във формат JSON. Това е обвивка и вътрешно използва команда OpenSSL.
SSL одит
SSL одит е инструмент с отворен код за проверка на сертификата и поддръжка на протокола, шифрите и степента, базирани на SSL Labs.
Надявам се, че горните инструменти с отворен код ви помагат да интегрирате непрекъснатото сканиране с вашия съществуващ анализатор на регистрационни файлове и да улесните отстраняването на неизправности.