11 GRATIS SSL/TLS feilsøkingsverktøy for webmaster

by
Tweet
Share
Share
Pin
0 Shares

Du må ofte feilsøke SSL/TLS-relaterte problemer mens du jobber som webingeniør, webmaster eller systemadministrator.

Det er mange nettbaserte verktøy for SSL-sertifikat, testing av SSL/TLS-sårbarheter, men når det kommer til å teste intranettbasert URL, VIP, IP, vil de ikke være nyttige.

For å feilsøke intranettressurser trenger du en frittstående programvare/verktøy som du kan installere i nettverket og utføre en nødvendig test.

Det kan være ulike scenarier, som:

  • Har problemer under implementering av SSL-sertifikater med webserver
  • Vil du sikre siste/spesifikke chiffer, blir protokollen brukt
  • Etter implementering, ønsker å bekrefte konfigurasjonen
  • Sikkerhetsrisiko funnet i et penetrasjonstestresultat

Følgende verktøy vil være nyttige for å feilsøke slike problemer.

DeepViolet

DeepViolet er et java-basert SSL/TLS-skanneverktøy tilgjengelig i binært format, eller du kan kompilere med kildekode.

Hvis du ser etter et alternativ av SSL Labs som skal brukes på et internt nettverk, vil DeepViolet være et godt valg. Den skanner etter følgende.

  • Svak chiffer avslørt
  • Svak signeringsalgoritme
  • Status for tilbakekall av sertifisering
  • Sertifikatets utløpsstatus
  • Visualiser tillitskjeden, en selvsignert rot

SSL-diagnose

Vurder raskt SSL-styrken til nettstedet ditt. SSL-diagnose ekstrahere SSL-protokoll, chiffersuiter, heartbleed, BEAST.

Ikke bare HTTPS, men du kan teste SSL-styrke for SMTP, SIP, POP3 og FTPS.

SSLyze

SSLyze er et Python-bibliotek og kommandolinjeverktøy som kobles til SSL-endepunkt og utfører en skanning for å identifisere eventuelle SSL/TLS-feilkonfigurasjoner.

  Reparer Spotify Wrapped Fungerer ikke

Skann gjennom SSLyze er raskt ettersom en test distribueres gjennom flere prosesser. Hvis du er en utvikler eller ønsker å integrere med din eksisterende applikasjon, har du muligheten til å skrive resultatet i XML- eller JSON-format.

SSLyze er også tilgjengelig i Kali Linux. Hvis du er ny til Kali, sjekk ut hvordan du installerer Kali Linux på VMWare Fusion.

OpenSSL

Ikke undervurder OpenSSL, et av de kraftige frittstående verktøyene som er tilgjengelige for Windows eller Linux for å utføre ulike SSL-relaterte oppgaver som verifisering, CSR-generering, sertifiseringskonvertering, etc.

SSL Labs Scan

Elsker du Qualys SSL Labs? Du er ikke alene; Jeg elsker det også.

Hvis du leter etter et kommandolinjeverktøy for SSL Labs for automatisert testing eller bulktesting, da SSL Labs Scan ville være nyttig.

SSL-skanning

SSL-skanning er kompatibel med Windows, Linux og MAC. SSL Scan hjelper raskt å identifisere følgende beregninger.

  • Uthev SSLv2/SSLv3/CBC/3DES/RC4/ chiffer
  • Rapporter svake (<40bit), null/anonyme chiffer
  • Bekreft TLS-komprimering, hjerteblødningssårbarhet
  • og mye mer…

Hvis du jobber med chifferrelaterte problemer, vil en SSL-skanning være et nyttig verktøy for å raskere feilsøkingen.

tipsbilk.net TLS Scanner API

En annen smart løsning for webmastere kan være tipsbilk.net TLS Scanner API.

Dette er en robust metode for å sjekke TLS-protokollen, CN, SAN og andre sertifikatdetaljer på et sekund. Og du kan prøve dette uten risiko med et gratis abonnement for opptil 3000 forespørsler per måned.

Base premium-nivået legger imidlertid til en høyere forespørselsfrekvens og 10K API-anrop for bare $5 i måneden.

  Hvordan lære webapplikasjonssikkerhet?

TestSSL

Som navnet indikerer, TestSSL er et kommandolinjeverktøy som er kompatibelt med Linux eller OS. Den tester alle viktige beregninger og gir status, enten god eller dårlig.

Eks:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Som du kan se, dekker den et stort antall sårbarheter, chifferpreferanser, protokoller osv. TestSSL.sh er også tilgjengelig i en docker-bilde.

  Hvorfor fungerer ikke Minka Aire Remote?

Hvis du trenger å gjøre en ekstern skanning ved å bruke testssl.sh, kan du prøve tipsbilk.net TLS Scanner.

TLS-skanning

Du kan enten bygge TLS-skanning fra kilde eller last ned binær for Linux/OSX. Den trekker ut sertifikatinformasjon fra serveren og skriver ut følgende beregninger i JSON-format.

  • Verifiseringskontroller for vertsnavn
  • TLS-komprimeringssjekker
  • Kontrollerer oppregning av chiffer- og TLS-versjon
  • Kontroller om gjenbruk av økter

Den støtter TLS-, SMTP-, STARTTLS- og MySQL-protokoller. Du kan også integrere den resulterende utgangen i en logganalysator som Splunk, ELK.

Cipher Scan

Et raskt verktøy for å analysere hva HTTPS-nettstedet støtter alle chiffer. Cipher Scan har også en mulighet for å vise utdata i JSON-format. Det er wrapper og internt ved hjelp av OpenSSL-kommandoen.

SSL revisjon

SSL revisjon er et åpen kildekodeverktøy for å verifisere sertifikatet og støtte protokollen, chiffer og karakter basert på SSL Labs.

Jeg håper verktøyene ovenfor med åpen kildekode hjelper deg med å integrere den kontinuerlige skanningen med din eksisterende logganalysator og lette feilsøkingen.