10 Công cụ khắc phục sự cố SSL / TLS MIỄN PHÍ cho Quản trị viên web

Bạn thường xuyên cần gỡ lỗi các vấn đề liên quan đến SSL / TLS trong khi làm việc như một kỹ sư web, quản trị trang web hoặc quản trị viên hệ thống.


Có rất nhiều công cụ trực tuyến đối với chứng chỉ SSL, Kiểm tra các lỗ hổng SSL / TLS, nhưng khi nói đến việc kiểm tra URL dựa trên mạng nội bộ, VIP, IP, thì chúng đã thắng được.

Để khắc phục sự cố tài nguyên mạng nội bộ, bạn cần một phần mềm / công cụ độc lập mà bạn có thể cài đặt trong mạng của mình và thực hiện kiểm tra cần thiết.

Có thể có nhiều kịch bản khác nhau, như:

  • Có vấn đề trong quá trình thực hiện chứng chỉ SSL với máy chủ web
  • Muốn đảm bảo mật mã mới nhất / cụ thể, giao thức đang được sử dụng
  • Sau khi thực hiện, muốn xác minh cấu hình
  • Rủi ro bảo mật được tìm thấy trong kết quả kiểm tra thâm nhập

Các công cụ sau đây sẽ hữu ích để khắc phục sự cố như vậy.

DeepViolet

DeepViolet là một công cụ quét SSL / TLS dựa trên java có sẵn ở dạng nhị phân hoặc bạn có thể biên dịch bằng mã nguồn.

Nếu bạn đang tìm kiếm một giải pháp thay thế SSL Labs được sử dụng trên mạng nội bộ, thì DeepViolet sẽ là một lựa chọn tốt. Nó quét cho sau.

  • Mật mã yếu tiếp xúc
  • Thuật toán ký yếu
  • Tình trạng thu hồi chứng nhận
  • Tình trạng hết hạn giấy chứng nhận
  • Hình dung chuỗi tin cậy, một root tự ký

Chẩn đoán SSL

Đánh giá nhanh sức mạnh SSL của trang web của bạn. Chẩn đoán SSL trích xuất giao thức SSL, bộ mật mã, heartbleed, BEAST.

Không chỉ HTTPS, mà bạn có thể kiểm tra độ bền SSL cho SMTP, SIP, POP3 và FTPS.

SSL

SSL là một thư viện Python và công cụ dòng lệnh kết nối với điểm cuối SSL và thực hiện quét để xác định bất kỳ cấu hình lỗi SSL / TLS nào.

Quét qua SSLyze rất nhanh vì một bài kiểm tra được phân phối qua nhiều quy trình. Nếu bạn là nhà phát triển hoặc bạn muốn tích hợp với ứng dụng hiện tại của mình, thì bạn có tùy chọn viết kết quả theo định dạng XML hoặc JSON.

SSLyze cũng có sẵn trong Kali Linux.

OpenSSL

Don Tiết đánh giá thấp OpenSSL, một trong những công cụ độc lập mạnh mẽ có sẵn cho Windows hoặc Linux để thực hiện các tác vụ liên quan đến SSL khác nhau như xác minh, tạo CSR, chuyển đổi chứng nhận, v.v..

Quét phòng thí nghiệm SSL

Yêu phòng thí nghiệm SSL Qualys? Mày không đơn độc; tôi cũng thích nó.

Nếu bạn đang tìm kiếm một công cụ dòng lệnh cho SSL Labs để kiểm tra tự động hoặc hàng loạt, thì Quét phòng thí nghiệm SSL sẽ hữu dụng.

Quét SSL

Quét SSL tương thích với Windows, Linux và MAC. Quét SSL nhanh chóng giúp xác định các số liệu sau.

  • Đánh dấu SSLv2 / SSLv3 / CBC / 3DES / RC4 / mật mã
  • Báo cáo yếu (<40 bit), mật mã null / ẩn danh
  • Xác minh nén TLS, lỗ hổng heartbleed
  • và nhiều hơn nữa…

Nếu bạn đang làm việc về các vấn đề liên quan đến mật mã, thì quét SSL sẽ là một công cụ hữu ích để theo dõi nhanh việc khắc phục sự cố.

TestSSL

Như tên cho thấy, TestSSL là một công cụ dòng lệnh tương thích với Linux hoặc HĐH. Nó kiểm tra tất cả các số liệu cần thiết và đưa ra trạng thái, dù tốt hay xấu.

Ví dụ:

Kiểm tra giao thức qua ổ cắm ngoại trừ SPDY + HTTP2

SSLv2 không được cung cấp (OK)
SSLv3 không được cung cấp (OK)
TLS 1 được cung cấp
TLS 1.1 được cung cấp
TLS 1.2 được cung cấp (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (được quảng cáo)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (được cung cấp)

Kiểm tra ~ loại mật mã tiêu chuẩn

Mật mã NULL (không mã hóa) không được cung cấp (OK)
Mật mã NULL ẩn danh (không xác thực) không được cung cấp (OK)
Xuất mã hóa (w / o ADH + NULL) không được cung cấp (OK)
THẤP: Mã hóa 64 bit + DES (xuất / không xuất) không được cung cấp (OK)
Mật mã yếu 128 bit (SEED, IDEA, RC [2,4]) không được cung cấp (OK)
Mật mã ba DES (Trung bình) không được cung cấp (OK)
Mã hóa cao (AES + Camellia, không có AEAD) được cung cấp (OK)
Mã hóa mạnh (mật mã AEAD) được cung cấp (OK)

Kiểm tra tùy chọn máy chủ

Có mật mã máy chủ đặt hàng? Vâng ok)
Giao thức đàm phán TLSv1.2
Mật mã được đàm phán ECDHE-ECDSA-CHACHA20-POLY1305-OLD, ECDH 256 bit (P-256)
Thứ tự mật mã
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Kiểm tra lỗ hổng

Heartbleed (CVE-2014-0160) không dễ bị tổn thương (OK), không mở rộng nhịp tim
CCS (CVE-2014-0224) không dễ bị tổn thương (OK)
Ticketbleed (CVE-2016-9244), thử nghiệm. không dễ bị tổn thương (OK)
Tái đàm phán an toàn (CVE-2009-3555) không dễ bị tổn thương (OK)
Đổi mới an toàn do khách hàng khởi tạo không dễ bị tổn thương (OK)
CRIME, TLS (CVE-2012-4929) không dễ bị tổn thương (OK)
BREACH (CVE-2013-3587) có khả năng KHÔNG ok, sử dụng nén HTTP gzip. – chỉ được cung cấp "/" thử nghiệm
Có thể bỏ qua cho các trang tĩnh hoặc nếu không có bí mật trong trang
POODLE, SSL (CVE-2014-3566) không dễ bị tổn thương (OK)
Hỗ trợ phòng ngừa tấn công hạ cấp TLS_FALLBACK_SCSV (RFC 7507) (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) không dễ bị tổn thương (OK)
FREAK (CVE-2015-0204) không dễ bị tổn thương (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) không dễ bị tấn công trên máy chủ và cổng này (OK)
đảm bảo bạn không sử dụng chứng chỉ này ở nơi khác với các dịch vụ hỗ trợ SSLv2
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 có thể giúp bạn tìm hiểu
LOGJAM (CVE-2015-4000), thử nghiệm không dễ bị tổn thương (OK): không có mật mã xuất khẩu DH, không phát hiện khóa DH
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE – nhưng cũng hỗ trợ các giao thức cao hơn (có thể giảm thiểu): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, sử dụng mật mã chuỗi khối mã hóa (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) không phát hiện được mật mã RC4 (OK)

Như bạn có thể thấy, nó bao gồm một số lượng lớn các lỗ hổng, tùy chọn mật mã, giao thức, v.v. TestSSL.sh cũng có sẵn trong một hình ảnh bến tàu.

Nếu bạn cần thực hiện quét từ xa bằng testssl.sh thì bạn có thể thử Máy quét TLS Geekflare.

Quét TLS

Bạn có thể xây dựng Quét TLS từ nguồn hoặc tải xuống nhị phân cho Linux / OSX. Nó trích xuất thông tin chứng chỉ từ máy chủ và in các số liệu sau ở định dạng JSON.

  • Kiểm tra xác minh tên máy chủ
  • Kiểm tra nén TLS
  • Kiểm tra liệt kê phiên bản mã hóa và TLS
  • Kiểm tra tái sử dụng phiên

Nó hỗ trợ các giao thức TLS, SMTP, STARTTLS và MySQL. Bạn cũng có thể tích hợp kết quả đầu ra trong một bộ phân tích nhật ký như Splunk, ELK.

Quét mật mã

Một công cụ nhanh chóng để phân tích những gì trang web HTTPS hỗ trợ tất cả các mật mã. Quét mật mã cũng có một tùy chọn để hiển thị đầu ra ở định dạng JSON. Nó bao bọc và bên trong sử dụng lệnh OpenSSL.

Kiểm toán SSL

Kiểm toán SSL là một công cụ nguồn mở để xác minh chứng chỉ và hỗ trợ giao thức, mật mã và cấp dựa trên SSL Labs.

Tôi hy vọng các công cụ nguồn mở ở trên giúp bạn tích hợp chức năng quét liên tục với trình phân tích nhật ký hiện tại của bạn và dễ dàng khắc phục sự cố.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map