10 БЕЗПЛАТНИ SSL / TLS инструменти за отстраняване на проблеми за уеб администратори

Често трябва отстраняване на грешки, свързани с SSL / TLS докато работите като уеб инженер, уеб администратор или системен администратор.


Има много онлайн инструменти за SSL сертификат, Тестване на SSL / TLS уязвимости, но когато става въпрос за тестване на базиран на интранет URL адрес, VIP, IP, те няма да бъдат полезни.

За да отстраните интранет ресурси, се нуждаете от самостоятелен софтуер / инструменти, които можете да инсталирате във вашата мрежа и да извършите необходим тест.

Може да има различни сценарии, като:

  • Проблеми по време на внедряването на SSL сертификат с уеб сървър
  • Искате да осигурите най-новия / конкретен шифър, протоколът се използва
  • След внедряване, искате да проверите конфигурацията
  • Защитен риск, открит в резултат на тест за проникване

Следните инструменти ще бъдат полезни за отстраняване на такива проблеми.

DeepViolet

DeepViolet е инструмент за сканиране на SSL / TLS базиран на Java, наличен в двоичен код, или можете да компилирате с изходния код.

Ако търсите алтернатива на SSL Labs, която да се използва във вътрешна мрежа, тогава DeepViolet би бил добър избор. Той сканира за следното.

  • Слаб шифър изложени
  • Алгоритъм за слабо подписване
  • Статус на отнемане на сертификат
  • Състояние на изтичане на срока на сертификата
  • Визуализирайте веригата на доверие, самостоятелно подписан корен

SSL диагностика

Бързо оценете силата на SSL на вашия уеб сайт. SSL диагностика екстракт SSL протокол, шифрови пакети, сърдечни, BEAST.

Не само HTTPS, но можете да тествате SSL сила за SMTP, SIP, POP3 и FTPS.

SSLyze

SSLyze е инструмент на библиотеката и командния ред на Python, който се свързва с SSL крайна точка и извършва сканиране, за да идентифицира всяка SSL / TLS пропуск.

Сканирането чрез SSLyze е бързо, тъй като тестът се разпределя чрез множество процеси. Ако сте разработчик или искате да се интегрирате със съществуващото си приложение, тогава имате опция да напишете резултата във формат XML или JSON.

SSLyze се предлага и в Kali Linux.

OpenSSL

Не подценявайте OpenSSL, един от мощните самостоятелни инструменти, налични за Windows или Linux за изпълнение на различни задачи, свързани с SSL като проверка, генериране на CSR, преобразуване на сертификати и т.н..

SSL Лабораторно сканиране

SSL лаборатории за любов Qualys? Не си сам; аз също го обичам.

Ако търсите инструмент за команден ред за SSL Labs за автоматизирани или групови тестове, тогава SSL Лабораторно сканиране би било полезно.

SSL сканиране

SSL сканиране е съвместим с Windows, Linux и MAC. SSL сканирането бързо помага да се идентифицират следните показатели.

  • Маркирайте SSLv2 / SSLv3 / CBC / 3DES / RC4 / шифри
  • Отчет слаб (<40bit), нулеви / анонимни шифри
  • Проверете TLS компресията, уязвимостта на сърцето
  • и още много…

Ако работите по проблеми, свързани с шифъра, тогава SSL сканирането ще бъде полезен инструмент за бързо проследяване на отстраняването на неизправности.

TestSSL

Както показва името, TestSSL е инструмент за команден ред, съвместим с Linux или OS. Тества всички основни показатели и дава статут, независимо дали е добър или лош.

Ex:

Тестване на протоколи чрез гнезда с изключение SPDY + HTTP2

SSLv2 не се предлага (OK)
SSLv3 не се предлага (OK)
TLS 1 предлага
TLS 1.1 предлага
TLS 1.2 предлага (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (рекламиран)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (предлага се)

Тестване ~ стандартни категории шифри

NULL шифри (без криптиране) не се предлагат (OK)
Не се предлагат анонимни NULL шифри (без удостоверяване) (OK)
Експортиране на шифри (без ADH + NULL) не се предлага (OK)
LOW: 64 Bit + DES криптиране (без износ) не се предлага (OK)
Слаби 128 битови шифри (SEED, IDEA, RC [2,4]) не се предлагат (OK)
Тройни DES шифри (средно) не се предлагат (OK)
Предлага се високо криптиране (AES + Camellia, без AEAD) (OK)
Предлага се силно криптиране (AEAD шифри) (OK)

Тестване на предпочитанията на сървъра

Има ли ред на сървърния шифър? да, добре)
Договорен протокол TLSv1.2
Преговарящ шифър ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256-битов ECDH (P-256)
Поръчка на шифъра
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-Стар ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Тестване на уязвимости

Сърдечен кръвоизлив (CVE-2014-0160) не е уязвим (ОК), няма удължаване на сърдечния пулс
CCS (CVE-2014-0224) не е уязвим (OK)
Билети (CVE-2016-9244), експеримент. не е уязвим (ОК)
Сигурното предоговаряне (CVE-2009-3555) не е уязвимо (OK)
Сигурното клиентско повторно договаряне не е уязвимо (ОК)
ПРЕСТЪПЛЕНИЕ, TLS (CVE-2012-4929) не е уязвимо (OK)
BREACH (CVE-2013-3587) потенциално НЕ ОК, използва gzip HTTP компресия. – доставя се само "/" изпитан
Може да се игнорира за статични страници или ако няма тайни в страницата
POODLE, SSL (CVE-2014-3566) не е уязвим (OK)
TLS_FALLBACK_SCSV (RFC 7507) Поддържа се предотвратяване на понижаване на атаката (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) не е уязвим (OK)
FREAK (CVE-2015-0204) не е уязвим (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) не е уязвим за този хост и порт (OK)
уверете се, че не използвате този сертификат другаде с SSLv2 услуги
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 може да ви помогне да разберете
LOGJAM (CVE-2015-4000), експериментално не уязвим (OK): няма шифри за DH EXPORT, не е открит DH ключ
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
РАЗЛИЧЕН – но също така поддържа по-високи протоколи (възможно смекчаване): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) РЕГУЛИРАН, използва шифрови блокчейн вериги (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) не са открити RC4 шифри (OK)

Както можете да видите, той обхваща голям брой уязвимости, предпочитания за шифри, протоколи и др. TestSSL.sh е наличен и в изображение на докер.

Ако трябва да направите дистанционно сканиране с помощта на testssl.sh, тогава можете да опитате Geekflare TLS скенер.

TLS Scan

Можете или да изградите TLS-Scan от източник или изтеглете двоичен файл за Linux / OSX. Той извлича информация от сертификата от сървъра и отпечатва следните показатели във формат JSON.

  • Проверки за проверка на име на хост
  • Проверки за компресия на TLS
  • Проверки на изброяване на Cipher и TLS
  • Проверки за повторно използване на сесията

Той поддържа TLS, SMTP, STARTTLS и MySQL протоколи. Можете също да интегрирате получения резултат в анализатор на регистрационни файлове като Splunk, ELK.

Шифрово сканиране

Бърз инструмент за анализ на това, което уебсайтът HTTPS поддържа всички шифри. Шифрово сканиране също има опция за показване на изход във формат JSON. Той е обвиващ и вътрешно използвайки OpenSSL командата.

SSL одит

SSL одит е инструмент с отворен код за проверка на сертификата и поддръжка на протокола, шифрите и степента, базирани на SSL Labs.

Надявам се, че горните инструменти с отворен код ще ви помогнат да интегрирате непрекъснатото сканиране със съществуващия си анализатор на журнали и да улесните отстраняването на проблеми.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map