11 ferramentas de solução de problemas SSL/TLS GRATUITAS para webmasters

Muitas vezes, você precisa depurar problemas relacionados a SSL/TLS enquanto trabalha como engenheiro da web, webmaster ou administrador de sistema.

Existem muitas ferramentas online para certificado SSL, Testando vulnerabilidades SSL/TLS, mas quando se trata de testar URL, VIP, IP baseado em intranet, elas não serão úteis.

Para solucionar problemas de recursos da intranet, você precisa de um software/ferramentas autônomos que podem ser instalados em sua rede e realizar um teste necessário.

Pode haver vários cenários, como:

  • Tendo problemas durante a implementação do certificado SSL com o servidor web
  • Deseja garantir a cifra mais recente/particular, o protocolo está sendo usado
  • Pós-implementação, deseja verificar a configuração
  • Risco de segurança encontrado em um resultado de teste de penetração

As ferramentas a seguir serão úteis para solucionar esses problemas.

DeepViolet

DeepViolet é uma ferramenta de varredura SSL/TLS baseada em Java disponível em binário, ou você pode compilar com código-fonte.

Se você está procurando uma alternativa do SSL Labs para ser usado em uma rede interna, o DeepViolet seria uma boa escolha. Ele verifica o seguinte.

  • Cifra fraca exposta
  • Algoritmo de assinatura fraco
  • Status de revogação da certificação
  • Status de expiração do certificado
  • Visualize a cadeia de confiança, uma raiz autoassinada

Diagnósticos SSL

Avalie rapidamente a força do SSL do seu site. Diagnósticos SSL extrair protocolo SSL, conjuntos de cifras, heartbleed, BEAST.

Não apenas HTTPS, mas você pode testar a força do SSL para SMTP, SIP, POP3 e FTPS.

SSLyze

SSLyze é uma biblioteca Python e uma ferramenta de linha de comando que se conecta ao endpoint SSL e executa uma varredura para identificar qualquer configuração incorreta de SSL/TLS.

  Uma ferramenta minimalista e livre de distrações para escrever online

A varredura por meio do SSLyze é rápida, pois um teste é distribuído por vários processos. Se você é um desenvolvedor ou gostaria de integrar com seu aplicativo existente, você tem a opção de escrever o resultado no formato XML ou JSON.

SSLyze também está disponível no Kali Linux. Se você é novo no Kali, confira como instalar o Kali Linux no VMWare Fusion.

OpenSSL

Não subestime o OpenSSL, uma das poderosas ferramentas autônomas disponíveis para Windows ou Linux para executar várias tarefas relacionadas a SSL, como verificação, geração de CSR, conversão de certificação, etc.

Verificação de laboratórios SSL

Adora o Qualys SSL Labs? Você não está sozinho; Eu também adoro.

Se você estiver procurando por uma ferramenta de linha de comando para SSL Labs para testes automatizados ou em massa, então Verificação de laboratórios SSL seria útil.

Verificação SSL

Verificação SSL é compatível com Windows, Linux e MAC. O SSL Scan ajuda a identificar rapidamente as seguintes métricas.

  • Destaque SSLv2/SSLv3/CBC/3DES/RC4/ciphers
  • Reportar cifras fracas (<40 bits), nulas/anônimas
  • Verifique a compactação TLS, vulnerabilidade heartbleed
  • e muito mais…

Se você estiver trabalhando em problemas relacionados à criptografia, uma verificação SSL seria uma ferramenta útil para acelerar a solução de problemas.

API do scanner TLS etechpt.com

Outra solução bacana para webmasters pode ser a API etechpt.com TLS Scanner.

Este é um método robusto para verificar o protocolo TLS, CN, SAN e outros detalhes do certificado em uma fração de segundo. E você pode experimentar isso sem riscos com uma assinatura gratuita para até 3.000 solicitações por mês.

No entanto, o nível premium básico adiciona uma taxa de solicitação maior e chamadas de API de 10.000 por apenas US$ 5 por mês.

  Erro de proxy da Netflix – Como ignorar e desbloquear a Netflix

Testar SSL

Como o nome indica, Testar SSL é uma ferramenta de linha de comando compatível com Linux ou SO. Ele testa todas as métricas essenciais e dá status, seja bom ou ruim.

Ex:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Como você pode ver, ele cobre um grande número de vulnerabilidades, preferências de cifra, protocolos, etc. TestSSL.sh também está disponível em um imagem do docker.

  Entendendo o gerenciamento do ciclo de receita empresarial (RCM)

Se você precisar fazer uma varredura remota usando testssl.sh, tente etechpt.com TLS Scanner.

Verificação TLS

Você pode tanto construir TLS-Scan da fonte ou faça o download do binário para Linux/OSX. Ele extrai informações de certificado do servidor e imprime as seguintes métricas no formato JSON.

  • Verificações de verificação de nome de host
  • Verificações de compactação TLS
  • Verificações de enumeração de versão Cipher e TLS
  • Verificações de reutilização de sessão

Ele suporta os protocolos TLS, SMTP, STARTTLS e MySQL. Você também pode integrar a saída resultante em um analisador de logs como Splunk, ELK.

Verificação de cifra

Uma ferramenta rápida para analisar o que o site HTTPS suporta todas as cifras. Verificação de cifra também tem uma opção para mostrar a saída no formato JSON. É wrapper e internamente usando o comando OpenSSL.

Auditoria SSL

Auditoria SSL é uma ferramenta de código aberto para verificar o certificado e oferecer suporte ao protocolo, cifras e classificação com base no SSL Labs.

Espero que as ferramentas de código aberto acima o ajudem a integrar a verificação contínua com seu analisador de log existente e facilitem a solução de problemas.