Muitas vezes, você precisa depurar problemas relacionados a SSL/TLS enquanto trabalha como engenheiro da web, webmaster ou administrador de sistema.
Existem muitas ferramentas online para certificado SSL, Testando vulnerabilidades SSL/TLS, mas quando se trata de testar URL, VIP, IP baseado em intranet, elas não serão úteis.
Para solucionar problemas de recursos da intranet, você precisa de um software/ferramentas autônomos que podem ser instalados em sua rede e realizar um teste necessário.
Pode haver vários cenários, como:
- Tendo problemas durante a implementação do certificado SSL com o servidor web
- Deseja garantir a cifra mais recente/particular, o protocolo está sendo usado
- Pós-implementação, deseja verificar a configuração
- Risco de segurança encontrado em um resultado de teste de penetração
As ferramentas a seguir serão úteis para solucionar esses problemas.
últimas postagens
DeepViolet
DeepViolet é uma ferramenta de varredura SSL/TLS baseada em Java disponível em binário, ou você pode compilar com código-fonte.
Se você está procurando uma alternativa do SSL Labs para ser usado em uma rede interna, o DeepViolet seria uma boa escolha. Ele verifica o seguinte.
- Cifra fraca exposta
- Algoritmo de assinatura fraco
- Status de revogação da certificação
- Status de expiração do certificado
- Visualize a cadeia de confiança, uma raiz autoassinada
Diagnósticos SSL
Avalie rapidamente a força do SSL do seu site. Diagnósticos SSL extrair protocolo SSL, conjuntos de cifras, heartbleed, BEAST.
Não apenas HTTPS, mas você pode testar a força do SSL para SMTP, SIP, POP3 e FTPS.
SSLyze
SSLyze é uma biblioteca Python e uma ferramenta de linha de comando que se conecta ao endpoint SSL e executa uma varredura para identificar qualquer configuração incorreta de SSL/TLS.
A varredura por meio do SSLyze é rápida, pois um teste é distribuído por vários processos. Se você é um desenvolvedor ou gostaria de integrar com seu aplicativo existente, você tem a opção de escrever o resultado no formato XML ou JSON.
SSLyze também está disponível no Kali Linux. Se você é novo no Kali, confira como instalar o Kali Linux no VMWare Fusion.
OpenSSL
Não subestime o OpenSSL, uma das poderosas ferramentas autônomas disponíveis para Windows ou Linux para executar várias tarefas relacionadas a SSL, como verificação, geração de CSR, conversão de certificação, etc.
Verificação de laboratórios SSL
Adora o Qualys SSL Labs? Você não está sozinho; Eu também adoro.
Se você estiver procurando por uma ferramenta de linha de comando para SSL Labs para testes automatizados ou em massa, então Verificação de laboratórios SSL seria útil.
Verificação SSL
Verificação SSL é compatível com Windows, Linux e MAC. O SSL Scan ajuda a identificar rapidamente as seguintes métricas.
- Destaque SSLv2/SSLv3/CBC/3DES/RC4/ciphers
- Reportar cifras fracas (<40 bits), nulas/anônimas
- Verifique a compactação TLS, vulnerabilidade heartbleed
- e muito mais…
Se você estiver trabalhando em problemas relacionados à criptografia, uma verificação SSL seria uma ferramenta útil para acelerar a solução de problemas.
API do scanner TLS etechpt.com
Outra solução bacana para webmasters pode ser a API etechpt.com TLS Scanner.
Este é um método robusto para verificar o protocolo TLS, CN, SAN e outros detalhes do certificado em uma fração de segundo. E você pode experimentar isso sem riscos com uma assinatura gratuita para até 3.000 solicitações por mês.
No entanto, o nível premium básico adiciona uma taxa de solicitação maior e chamadas de API de 10.000 por apenas US$ 5 por mês.
Testar SSL
Como o nome indica, Testar SSL é uma ferramenta de linha de comando compatível com Linux ou SO. Ele testa todas as métricas essenciais e dá status, seja bom ou ruim.
Ex:
Testing protocols via sockets except SPDY+HTTP2 SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 offered TLS 1.1 offered TLS 1.2 offered (OK) SPDY/NPN h2, spdy/3.1, http/1.1 (advertised) HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered) Testing ~standard cipher categories NULL ciphers (no encryption) not offered (OK) Anonymous NULL Ciphers (no authentication) not offered (OK) Export ciphers (w/o ADH+NULL) not offered (OK) LOW: 64 Bit + DES encryption (w/o export) not offered (OK) Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK) Triple DES Ciphers (Medium) not offered (OK) High encryption (AES+Camellia, no AEAD) offered (OK) Strong encryption (AEAD ciphers) offered (OK) Testing server preferences Has server cipher order? yes (OK) Negotiated protocol TLSv1.2 Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256) Cipher order TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA AES256-SHA256 Testing vulnerabilities Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension CCS (CVE-2014-0224) not vulnerable (OK) Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK) Secure Renegotiation (CVE-2009-3555) not vulnerable (OK) Secure Client-Initiated Renegotiation not vulnerable (OK) CRIME, TLS (CVE-2012-4929) not vulnerable (OK) BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested Can be ignored for static pages or if no secrets in the page POODLE, SSL (CVE-2014-3566) not vulnerable (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK) SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK) FREAK (CVE-2015-0204) not vulnerable (OK) DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK) make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2 LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Como você pode ver, ele cobre um grande número de vulnerabilidades, preferências de cifra, protocolos, etc. TestSSL.sh também está disponível em um imagem do docker.
Se você precisar fazer uma varredura remota usando testssl.sh, tente etechpt.com TLS Scanner.
Verificação TLS
Você pode tanto construir TLS-Scan da fonte ou faça o download do binário para Linux/OSX. Ele extrai informações de certificado do servidor e imprime as seguintes métricas no formato JSON.
- Verificações de verificação de nome de host
- Verificações de compactação TLS
- Verificações de enumeração de versão Cipher e TLS
- Verificações de reutilização de sessão
Ele suporta os protocolos TLS, SMTP, STARTTLS e MySQL. Você também pode integrar a saída resultante em um analisador de logs como Splunk, ELK.
Verificação de cifra
Uma ferramenta rápida para analisar o que o site HTTPS suporta todas as cifras. Verificação de cifra também tem uma opção para mostrar a saída no formato JSON. É wrapper e internamente usando o comando OpenSSL.
Auditoria SSL
Auditoria SSL é uma ferramenta de código aberto para verificar o certificado e oferecer suporte ao protocolo, cifras e classificação com base no SSL Labs.
Espero que as ferramentas de código aberto acima o ajudem a integrar a verificação contínua com seu analisador de log existente e facilitem a solução de problemas.