10 ingyenes SSL / TLS hibaelhárító eszköz a Webmester számára

Gyakran kell debug SSL / TLS kapcsolódó kérdések miközben webmérnökként, webmesterként vagy rendszergazdaként dolgozik.


Rengeteg van online eszközök az SSL tanúsítványhoz, az SSL / TLS sebezhetőségek tesztelése, de ha intranet alapú URL, VIP, IP tesztelésre kerülnek, akkor ezek nem lesznek hasznosak.

Az intranetes erőforrások hibaelhárításához önálló szoftverre / eszközökre van szüksége, amelyeket telepíthet a hálózatába, és elvégezheti a szükséges tesztet.

Különféle forgatókönyvek lehetnek, például:

  • Problémák merülnek fel az SSL tanúsítvány végrehajtása során a webszerverrel
  • Biztosítani szeretné a legfrissebb / adott rejtjelet, a protokoll használatban van
  • A telepítés utáni ellenőrizni szeretné a konfigurációt
  • A penetrációs teszt eredményében található biztonsági kockázat

A következő eszközök hasznosak lehetnek az ilyen problémák elhárításához.

DeepViolet

DeepViolet egy java alapú SSL / TLS letapogató eszköz, elérhető bináris formában, vagy forráskóddal fordítva.

Ha alternatívát keres az SSL Labs használatához a belső hálózaton, akkor a DeepViolet jó választás. A következőt keresi.

  • Gyenge rejtjel kitéve
  • Gyenge aláírási algoritmus
  • A tanúsítás visszavonási státusza
  • A tanúsítvány lejárt státusza
  • Képzelje el a bizalmi láncot, amely egy önaláírt gyökér

SSL diagnosztika

Gyorsan értékelje webhelyének SSL-erősségét. SSL diagnosztika kivonat SSL protokoll, rejtjelkészletek, szívverés, BEAST.

Nem csak a HTTPS, hanem tesztelni tudja az SSL erősségét az SMTP, SIP, POP3 és FTPS szempontjából.

SSLyze

SSLyze egy Python könyvtár és parancssori eszköz, amely csatlakozik az SSL végponthoz, és ellenőrzést végez az SSL / TLS hiányzó konfigurációinak azonosítása érdekében.

Az SSLyze-en keresztüli szkennelés gyors, mivel a tesztet több folyamaton keresztül terjesztik. Ha Ön fejlesztő vagy integrálni szeretne a meglévő alkalmazásba, akkor lehetősége van az eredményt XML vagy JSON formátumban írni..

Az SSLyze a Kali Linuxban is elérhető.

OpenSSL

Nem szabad alábecsülni az OpenSSL-t, amely a Windows vagy Linux számára elérhető különféle önálló eszközök, különféle SSL-hez kapcsolódó feladatok elvégzéséhez, például ellenőrzés, CSR generálás, tanúsítási konvertálás stb..

SSL Labs Scan

Szereted a Qualys SSL Labs-t? Nem vagy egyedül; én is szeretem.

Ha parancssori eszközt keres az SSL Labs számára az automatikus vagy tömeges teszteléshez, akkor SSL Labs Scan hasznos lenne.

SSL vizsgálat

SSL vizsgálat kompatibilis a Windows, Linux és MAC rendszerekkel. Az SSL-keresés gyorsan segíti a következő mutatók azonosítását.

  • Jelölje ki az SSLv2 / SSLv3 / CBC / 3DES / RC4 / rejtjeleket
  • Jelentés gyenge (<40 bites), null / névtelen rejtjelek
  • Ellenőrizze a TLS tömörítését, a beépített sérülékenységet
  • és még sok más…

Ha rejtjelezéssel kapcsolatos kérdésekkel foglalkozik, akkor egy SSL letapogatás hasznos eszköz lehet a hibaelhárítás felgyorsításához.

TestSSL

Ahogy a név jelzi, TestSSL egy parancssori eszköz, amely kompatibilis a Linux vagy az operációs rendszer. Megvizsgálja az összes alapvető mutatót és megadja az állapotot, legyen az jó vagy rossz.

Volt:

Protokollok tesztelése aljzaton keresztül kivéve SPDY + HTTP2

SSLv2 nem ajánlott (OK)
SSLv3 nem ajánlott (OK)
A TLS 1 felajánlott
Ajánlott TLS 1.1
Ajánlott TLS 1.2 (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (hirdetett)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (kínált)

~ Szabvány titkosítási kategóriák tesztelése

NULL rejtjeleket (titkosítás nélkül) nem kínálnak (OK)
NULL titkosítók (hitelesítés nélkül) nem kínálva (OK)
Export rejtjeleket (ADH + NULL nélkül) nem kínálnak (OK)
LOW: 64 bites + DES titkosítást (export nélkül) nem kínálnak (OK)
Gyenge 128 bites titkosítást (SEED, IDEA, RC [2,4]) nem kínálnak (OK)
Hármas DES Ciphers (közepes) nem ajánlott (OK)
Magas titkosítás (AES + Camellia, nincs AEAD) kínálva (OK)
Erős titkosítás (AEAD rejtjelek) kínálva (OK)

A kiszolgálói beállítások tesztelése

Megvan a kiszolgáló rejtjelezési rendje? igen ok)
Tárgyalt TLSv1.2 protokoll
Tárgyalt ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bites ECDH (P-256)
Cipher sorrend
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-Régi ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

A sebezhetőség tesztelése

A szívverés (CVE-2014-0160) nem sebezhető (OK), nincs szívverés-kiterjesztés
CCS (CVE-2014-0224) nem sebezhető (OK)
Jegyezhető (CVE-2016-9244), kísérlet. nem sebezhető (OK)
A biztonságos újratárgyalás (CVE-2009-3555) nem sebezhető (OK)
A biztonságos ügyfél által kezdeményezett újratárgyalás nem sérülékeny (OK)
Bűncselekmény, TLS (CVE-2012-4929) nem sebezhető (OK)
BREACH (CVE-2013-3587) potenciálisan NEM rendben van, gzip HTTP tömörítést használ. – csak szállítva "/" kipróbált
Figyelmen kívül hagyható statikus oldalak esetén, vagy ha nincs titok az oldalon
POODLE, SSL (CVE-2014-3566) nem sebezhető (OK)
TLS_FALLBACK_SCSV (RFC 7507) Támogatás az alsóbb szintű támadások megelőzésében (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) nem sebezhető (OK)
FREAK (CVE-2015-0204) nem sebezhető (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) nem veszélyeztetett ezen a gazdagépen és porton (OK)
ügyeljen arra, hogy máshol ne használja ezt a tanúsítványt az SSLv2-kompatibilis szolgáltatásokkal
A https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 segíthet abban, hogy megtudja
LOGJAM (CVE-2015-4000), kísérleti nem érzékeny (OK): nincs DH EXPORT rejtjel, nincs DH kulcs észlelve
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
KOCKÁZATOS – de magasabb protokollokat is támogat (lehetséges enyhítés): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, rejtjelezőblokk-láncoló (CBC) rejtjeleket használ
RC4 (CVE-2013-2566, CVE-2015-2808) nem észleltek RC4 rejtjeleket (OK)

Mint láthatja, számos sebezhetőséget, titkosítási preferenciát, protokollt stb. Fed le. A TestSSL.sh szintén elérhető egy dokkoló kép.

Ha távoli vizsgálatot kell végeznie a testssl.sh használatával, akkor kipróbálhatja Geekflare TLS szkenner.

TLS Scan

Vagy építhetsz TLS-Scan forrásból, vagy töltsön le bináris fájlokat Linux / OSX esetén. Kivonja a tanúsítványt a szerverről, és kinyomtatja a következő mutatókat JSON formátumban.

  • A hostnév ellenőrzése
  • A TLS tömörítés ellenőrzése
  • A Cipher és a TLS verziószámának ellenőrzése
  • A munkamenet újrafelhasználásának ellenőrzése

Támogatja a TLS, SMTP, STARTTLS és MySQL protokollokat. A kapott outputot integrálhatja egy naplóelemzőbe, például a Splunk, ELK.

Cipher Scan

Gyors eszköz annak elemzéséhez, hogy a HTTPS webhely támogatja-e az összes titkosítást. Cipher Scan a kimenetet JSON formátumban is megjelenítheti. A csomagolóeszköz belsőleg az OpenSSL parancsot használja.

SSL audit

SSL audit egy nyílt forrású eszköz a tanúsítvány ellenőrzéséhez, valamint a protokoll, a titkosítások és az osztály támogatásához az SSL Labs alapján.

Remélem, hogy a fenti, nyílt forrású eszközök segítenek a folyamatos szkennelés integrálásában a meglévő naplóelemzővel, és megkönnyítik a hibaelhárítást.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map