10 бесплатных инструментов для устранения неполадок SSL / TLS для веб-мастеров

Вам часто нужно Отладка проблем, связанных с SSL / TLS работая веб-инженером, веб-мастером или системным администратором.


Есть много онлайн инструменты для SSL-сертификата, Тестирование уязвимостей SSL / TLS, но когда речь идет о тестировании URL-адресов на основе интрасети, VIP, IP, они не окажутся полезными.

Для устранения неполадок в ресурсах интрасети вам необходимо отдельное программное обеспечение / инструменты, которые вы можете установить в своей сети и выполнить необходимый тест.

Могут быть разные сценарии, например:

  • Возникли проблемы при реализации SSL-сертификата с веб-сервером
  • Хотите убедиться, что последний / конкретный шифр, протокол используется
  • Пост-реализация, хотите проверить конфигурацию
  • В результате теста на проникновение обнаружена угроза безопасности

Следующие инструменты будут полезны для устранения таких проблем.

DeepViolet

DeepViolet это инструмент сканирования SSL / TLS на основе Java, доступный в двоичном формате, или вы можете скомпилировать с исходным кодом.

Если вы ищете альтернативу SSL Labs для использования во внутренней сети, тогда DeepViolet будет хорошим выбором. Сканирует на следующее.

  • Слабый шифр подвергается
  • Слабый алгоритм подписи
  • Статус отзыва сертификата
  • Срок действия сертификата
  • Визуализируйте цепочку доверия, самоподписанный корень

SSL-диагностика

Быстро оценить силу SSL вашего веб-сайта. SSL-диагностика извлекать протокол SSL, наборы шифров, heartbleed, BEAST.

Не только HTTPS, но вы можете проверить силу SSL для SMTP, SIP, POP3 и FTPS.

SSLyze

SSLyze является библиотекой Python и инструментом командной строки, который подключается к конечной точке SSL и выполняет сканирование для выявления любой неправильной конфигурации SSL / TLS.

Сканирование по протоколу SSLyze выполняется быстро, поскольку тест распространяется по нескольким процессам. Если вы разработчик или хотели бы интегрироваться в существующее приложение, у вас есть возможность записать результат в формате XML или JSON..

SSLyze также доступен в Kali Linux.

OpenSSL

Не стоит недооценивать OpenSSL, один из мощных автономных инструментов, доступных для Windows или Linux, для выполнения различных задач, связанных с SSL, таких как проверка, генерация CSR, преобразование сертификации и т. Д..

SSL Labs Scan

Любите Qualys SSL Labs? Ты не одинок; я люблю его тоже.

Если вы ищете инструмент командной строки для SSL Labs для автоматического или массового тестирования, то SSL Labs Scan было бы полезно.

Сканирование SSL

Сканирование SSL совместим с Windows, Linux и MAC. Сканирование SSL быстро помогает идентифицировать следующие метрики.

  • Выделите SSLv2 / SSLv3 / CBC / 3DES / RC4 / шифры
  • Отчет слабый (<40bit), нулевые / анонимные шифры
  • Проверьте сжатие TLS, уязвимость heartbleed
  • и многое другое…

Если вы работаете над проблемами, связанными с шифрованием, то сканирование SSL будет полезным инструментом для быстрого устранения неполадок..

TestSSL

Как видно из названия, TestSSL это инструмент командной строки, совместимый с Linux или OS Он проверяет все основные метрики и дает статус, хороший или плохой.

Пример:

Тестирование протоколов через сокеты Кроме SPDY + http2

SSLv2 не предлагается (ОК)
SSLv3 не предлагается (ОК)
TLS 1 предлагается
TLS 1.1 предлагается
TLS 1.2 предлагается (ОК)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (объявлен)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (предлагается)

Тестирование стандартных категорий шифров

NULL-шифры (без шифрования) не предлагаются (ОК)
Анонимные NULL-шифры (без аутентификации) не предлагаются (ОК)
Экспортные шифры (без ADH + NULL) не предлагаются (ОК)
НИЗКИЙ: 64-битное + DES-шифрование (без экспорта) не предлагается (ОК)
Слабые 128-битные шифры (SEED, IDEA, RC [2,4]) не предлагаются (ОК)
Triple DES Ciphers (Medium) не предлагается (ОК)
Предлагается высокое шифрование (AES + Camellia, без AEAD) (ОК)
Предлагается надежное шифрование (шифры AEAD) (ОК)

Тестирование настроек сервера

Есть ли порядок шифрования сервера? Да конечно)
Согласованный протокол TLSv1.2
Согласованный шифр ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256-битный ECDH (P-256)
Заказ шифра
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Тестирование уязвимостей

Сердцебиение (CVE-2014-0160) не уязвимо (ОК), сердцебиение отсутствует
CCS (CVE-2014-0224) не уязвим (ОК)
Ticketbleed (CVE-2016-9244), эксперимент. не уязвим (ок)
Безопасное повторное согласование (CVE-2009-3555) не уязвимо (ОК)
Безопасное повторное согласование, инициированное клиентом, не уязвимо (ОК)
ПРЕСТУПЛЕНИЕ, TLS (CVE-2012-4929) не уязвим (ОК)
BREACH (CVE-2013-3587) потенциально НЕ в порядке, использует HTTP-сжатие gzip. – только поставляется "/" проверенный
Может быть проигнорировано для статических страниц или если нет секретов на странице
Пудель, SSL (CVE-2014-3566) не уязвим (ОК)
TLS_FALLBACK_SCSV (RFC 7507) Поддерживается предотвращение атак с понижением рейтинга (ОК)
SWEET32 (CVE-2016-2183, CVE-2016-6329) не уязвим (ОК)
FREAK (CVE-2015-0204) не уязвим (ОК)
DROWN (CVE-2016-0800, CVE-2016-0703) не уязвим для этого хоста и порта (ОК)
убедитесь, что вы не используете этот сертификат в другом месте со службами с поддержкой SSLv2
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 может помочь вам узнать
LOGJAM (CVE-2015-4000), экспериментально не уязвим (ОК): шифры DH EXPORT, ключ DH не обнаружен
ЗВЕРЬ (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
Уязвим – но также поддерживает протоколы более высокого уровня (возможное смягчение): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) Уязвим, использует шифры цепочки блоков шифрования (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) шифры RC4 не обнаружены (ОК)

Как вы можете видеть, он охватывает большое количество уязвимостей, предпочтений шифров, протоколов и т. Д. TestSSL.sh также доступен в изображение докера.

Если вам нужно выполнить удаленное сканирование с использованием testssl.sh, тогда вы можете попробовать Geekflare TLS Scanner.

TLS Scan

Вы можете либо построить TLS-Scan из исходного кода или загрузите двоичный файл для Linux / OSX. Он извлекает информацию о сертификате с сервера и печатает следующие метрики в формате JSON.

  • Проверка имени хоста
  • Проверка сжатия TLS
  • Проверка перечисления версий шифра и TLS
  • Проверка повторного использования сеанса

Он поддерживает протоколы TLS, SMTP, STARTTLS и MySQL. Вы также можете интегрировать полученный результат в анализатор логов, например, Splunk, ELK.

Шифрование

Быстрый инструмент для анализа того, что сайт HTTPS поддерживает все шифры. Шифрование также есть возможность показать вывод в формате JSON. Это обертка и внутренне с помощью команды OpenSSL.

Аудит SSL

SSL-аудит это инструмент с открытым исходным кодом для проверки сертификата и поддержки протокола, шифров и оценок на основе SSL Labs.

Я надеюсь, что вышеизложенные инструменты с открытым исходным кодом помогут вам интегрировать непрерывное сканирование с существующим анализатором журналов и упростят устранение неполадок..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map