10 GRATIS SSL / TLS-probleme vir die oplos van probleme vir webmeester

U moet dit gereeld doen ontfout SSL / TLS-verwante probleme terwyl hy as ‘n webingenieur, webmeester of stelseladministrateur werk.


Daar is baie aanlyn gereedskap vir SSL-sertifikaat, die toets van SSL / TLS-kwesbaarhede, maar as dit kom by die toets van intranet-gebaseerde URL, VIP, IP, sal dit nie nuttig wees nie.

Om intranethulpbronne op te los, benodig u ‘n selfstandige sagteware / gereedskap wat u in u netwerk kan installeer en die nodige toets uitvoer.

Daar kan verskillende scenario’s wees, soos:

  • Het probleme tydens die implementering van SSL-sertifikate met die webbediener
  • Protokol word gebruik om die nuutste / spesifieke kodes te verseker
  • Na-implementering, wil u die konfigurasie verifieer
  • Sekuriteitsrisiko word gevind in ‘n penetrasietoetsuitslag

Die volgende instrumente is handig om sulke probleme op te los.

DeepViolet

DeepViolet is ‘n op Java gebaseerde SSL / TLS-skanderingsinstrument wat in binêre beskikbaar is, of u kan saamstel met die bronkode.

As u op soek is na ‘n alternatief vir SSL Labs wat op ‘n interne netwerk gebruik kan word, dan is DeepViolet ‘n goeie keuse. Dit soek na die volgende.

  • Swak chiffer blootgestel
  • Swak tekenalgoritme
  • Status vir intrekking van sertifisering
  • Sertifikaatvervalstatus
  • Visualiseer vertroue-ketting, ‘n selfgetekende wortel

SSL Diagnos

Evalueer die SSL-sterkte van u webwerf vinnig. SSL Diagnos uittreksel van SSL-protokol, kodeksuite, hartrooi, BEAST.

Nie net HTTPS nie, maar u kan SSL-sterkte toets vir SMTP, SIP, POP3 en FTPS.

SSLyze

SSLyze is ‘n Python-biblioteek en ‘n opdragreëlinstrument wat verbind is met SSL-eindpunt en ‘n skandering uitvoer om enige SSL / TLS-misopstelling te identifiseer.

Skandering deur SSLyze is vinnig, aangesien ‘n toets deur verskeie prosesse versprei word. As u ‘n ontwikkelaar is of u wil integreer met u bestaande toepassing, kan u die resultaat in XML- of JSON-formaat skryf.

SSLyze is ook beskikbaar in Kali Linux.

OpenSSL

Moenie OpenSSL onderskat nie, een van die kragtige selfstandige instrumente wat beskikbaar is vir Windows of Linux om verskillende SSL-verwante take uit te voer, soos verifikasie, CSR-generering, sertifiseringskonvertering, ens..

SSL Labs Scan

Hou van van Qualys SSL Labs? Jy is nie alleen nie; ek is ook lief daarvoor.

As u op soek is na ‘n opdraglyninstrument vir SSL-laboratoriums vir outomatiese of grootmaattoetsing, sal u dit dan doen SSL Labs Scan nuttig sou wees.

SSL-skandering

SSL-skandering is versoenbaar met Windows, Linux en MAC. SSL Scan help vinnig om die volgende statistieke te identifiseer.

  • Merk SSLv2 / SSLv3 / CBC / 3DES / RC4 / chiffer
  • Verslag swak (<40bit), nul / anonieme kodes
  • Verifieer die TLS-kompressie, die kwesbaarheid van die hart
  • en baie meer…

As u aan koderingsverwante probleme werk, sal ‘n SSL-skandering ‘n nuttige hulpmiddel wees om die probleemoplossing vinnig op te spoor.

TestSSL

Soos die naam aandui, TestSSL is ‘n opdraglyninstrument wat versoenbaar is met Linux of OS. Dit toets al die noodsaaklike statistieke en gee status, hetsy goed of sleg.

ex:

Toets protokolle via voetstukke behalwe SPDY + HTTP2

SSLv2 nie aangebied nie (OK)
SSLv3 nie aangebied nie (OK)
TLS 1 aangebied
TLS 1.1 aangebied
TLS 1.2 aangebied (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (geadverteer)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (aangebied)

Toets ~ standaard chiffer kategorieë

NULL-kodes (geen enkripsie nie) word nie aangebied nie (OK)
Anonieme NULL-kodes (geen verifikasie) nie aangebied (OK)
Uitvoer-sifers (w / o ADH + NULL) word nie aangebied nie (OK)
LAAG: 64 Bit + DES-kodering (sonder uitvoer) nie aangebied nie (OK)
Swak 128-bis-kodes (SEED, IDEA, RC [2,4]) word nie aangebied nie (OK)
Triple DES Ciphers (Medium) nie aangebied nie (OK)
Hoë kodering (AES + Camellia, geen AEAD) aangebied (OK)
Sterk enkripsie (AEAD-boord) word aangebied (OK)

Toets bedienervoorkeure

Het die bediener se kodesorde? ja (OK)
Onderhandelde protokol TLSv1.2
Onderhandelde chiffer ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Sifferorde
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Toets kwesbaarhede

Heartbleed (CVE-2014-0160) nie kwesbaar nie (OK), geen hartklopverlenging nie
CCS (CVE-2014-0224) nie kwesbaar nie (OK)
Ticketbleed (CVE-2016-9244), eksperiment. nie kwesbaar nie (OK)
Veilige heronderhandeling (CVE-2009-3555) nie kwesbaar nie (OK)
Veilige kliënt-geïnisieerde heronderhandeling is nie kwesbaar nie (OK)
MISDAAD, TLS (CVE-2012-4929) nie kwesbaar nie (OK)
BREACH (CVE-2013-3587) is moontlik NIE ok nie, gebruik gzip HTTP-kompressie. – slegs voorsien "/" getoets
Kan geïgnoreer word vir statiese bladsye of as daar geen geheime op die bladsy is nie
POODLE, SSL (CVE-2014-3566) nie kwesbaar nie (OK)
TLS_FALLBACK_SCSV (RFC 7507) Voorkoming van aanvalle op afgradeer ondersteun (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) nie kwesbaar nie (OK)
FREAK (CVE-2015-0204) nie kwesbaar nie (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) nie kwesbaar vir hierdie gasheer en hawe nie (OK)
maak seker dat u nie hierdie sertifikaat elders gebruik met SSLv2-dienste nie
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 kan u help om uit te vind
LOGJAM (CVE-2015-4000), eksperimenteel nie kwesbaar nie (OK): geen DH EXPORT-sifers, geen DH-sleutel opgespoor nie
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
Kwesbaar – maar ondersteun ook hoër protokolle (moontlike versagting): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, gebruik sifersblokketting (CBC) -sifers
RC4 (CVE-2013-2566, CVE-2015-2808) geen RC4-sipers opgespoor nie (OK)

Soos u kan sien, dek dit ‘n groot aantal kwesbaarhede, kodevoorkeure, protokolle, ens. TestSSL.sh is ook beskikbaar in ‘n docker-beeld.

As u ‘n afstandskandering moet doen met behulp van testssl.sh, kan u probeer Geekflare TLS-skandeerder.

TLS-skandering

U kan óf bou TLS-Scan vanaf die bron of laai binêre af vir Linux / OSX. Dit haal sertifikaatinligting van die bediener af en druk die volgende statistieke in JSON-formaat af.

  • Kontrole vir gasheernaamverifikasie
  • TLS-kompressie kontrole
  • Opsommingsteks vir kodes en TLS-weergawes
  • Die hergebruik van tjeks

Dit ondersteun TLS-, SMTP-, STARTTLS- en MySQL-protokolle. U kan ook die resulterende uitset in ‘n log-ontleder, soos Splunk, ELK, integreer.

Cipher Scan

‘N Vinnige hulpmiddel om te ontleed wat die HTTPS-webwerf alle skeure ondersteun. Cipher Scan het ook ‘n opsie om afvoer in JSON-formaat te vertoon. Dit is wikkel en intern met behulp van OpenSSL-opdrag.

SSL-oudit

SSL-oudit is ‘n open source-instrument om die sertifikaat te verifieer en om die protokol, chiffer en graad gebaseer op SSL Labs te ondersteun.

Ek hoop dat bogenoemde open source-instrumente u help om die deurlopende skandering met u bestaande log-ontleder te integreer en die probleemoplossing te vergemaklik.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map