11 GRATIS SSL/TLS-fejlfindingsværktøjer til webmaster

Af
Tweet
Share
Share
Pin

Du skal ofte fejlrette SSL/TLS-relaterede problemer, mens du arbejder som webingeniør, webmaster eller systemadministrator.

Der er masser af online værktøjer til SSL-certifikat, test af SSL/TLS-sårbarheder, men når det kommer til at teste intranetbaseret URL, VIP, IP, så vil de ikke være nyttige.

For at fejlfinde intranetressourcer skal du bruge en selvstændig software/værktøjer, som du kan installere i dit netværk og udføre en nødvendig test.

Der kan være forskellige scenarier, såsom:

  • Har problemer under implementering af SSL-certifikat med webserver
  • Vil du sikre nyeste/særlige chiffer, bliver protokol brugt
  • Efter implementering, ønsker at verificere konfigurationen
  • Sikkerhedsrisiko fundet i et penetrationstestresultat

Følgende værktøjer vil være praktiske til at fejlfinde sådanne problemer.

DeepViolet

DeepViolet er et java-baseret SSL/TLS-scanningsværktøj tilgængeligt i binært format, eller du kan kompilere med kildekode.

Hvis du leder efter et alternativ af SSL Labs, der skal bruges på et internt netværk, så ville DeepViolet være et godt valg. Den scanner for følgende.

  • Svagt ciffer blotlagt
  • Svag signeringsalgoritme
  • Status for tilbagekaldelse af certificering
  • Certifikatets udløbsstatus
  • Visualiser tillidskæden, en selvsigneret rod

SSL diagnose

Evaluer hurtigt SSL-styrken på dit websted. SSL diagnose ekstrahere SSL-protokol, cipher suites, heartbleed, BEAST.

Ikke kun HTTPS, men du kan teste SSL-styrke for SMTP, SIP, POP3 og FTPS.

SSLyze

SSLyze er et Python-bibliotek og et kommandolinjeværktøj, som forbinder til SSL-slutpunkt og udfører en scanning for at identificere enhver SSL/TLS-fejlkonfiguration.

  Sådan låser du Excel-celler med formler for at forhindre redigering

Scan gennem SSLyze er hurtig, da en test distribueres gennem flere processer. Hvis du er udvikler eller vil du gerne integrere med din eksisterende applikation, så har du mulighed for at skrive resultatet i XML- eller JSON-format.

SSLyze er også tilgængelig i Kali Linux. Hvis du er ny til Kali, så tjek hvordan du installerer Kali Linux på VMWare Fusion.

OpenSSL

Undervurder ikke OpenSSL, et af de kraftfulde selvstændige værktøjer til rådighed for Windows eller Linux til at udføre forskellige SSL-relaterede opgaver som verifikation, CSR-generering, certificeringskonvertering osv.

SSL Labs-scanning

Elsker du Qualys SSL Labs? Du er ikke alene; Jeg elsker det også.

Hvis du leder efter et kommandolinjeværktøj til SSL Labs til automatiseret eller bulktest, så SSL Labs-scanning ville være nyttigt.

SSL-scanning

SSL-scanning er kompatibel med Windows, Linux og MAC. SSL-scanning hjælper hurtigt med at identificere følgende metrics.

  • Fremhæv SSLv2/SSLv3/CBC/3DES/RC4/-cifre
  • Rapporter svage (<40bit), null/anonyme cifre
  • Bekræft TLS-komprimering, hjerteblødningssårbarhed
  • og meget mere…

Hvis du arbejder med krypteringsrelaterede problemer, så ville en SSL-scanning være et nyttigt værktøj til at fremskynde fejlfindingen.

toadmin.dk TLS Scanner API

En anden smart løsning for webmastere kan være toadmin.dk TLS Scanner API.

Dette er en robust metode til at kontrollere TLS-protokollen, CN, SAN og andre certifikatdetaljer på et splitsekund. Og du kan prøve dette risikofrit med et gratis abonnement på op til 3000 anmodninger om måneden.

Grundpræmiumniveauet tilføjer dog en større anmodningsrate og 10K API-kald for kun $5 om måneden.

  9 bedste ASN-onlineopslag, scripts og API

TestSSL

Som navnet indikerer, TestSSL er et kommandolinjeværktøj, der er kompatibelt med Linux eller OS. Den tester alle de væsentlige målinger og giver status, uanset om den er god eller dårlig.

Eks:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Som du kan se, dækker det en lang række sårbarheder, krypteringspræferencer, protokoller osv. TestSSL.sh er også tilgængelig i en docker billede.

  Sådan downloader du Apple TV+-shows på iPhone, iPad og Mac

Hvis du har brug for at lave en fjernscanning ved hjælp af testssl.sh, kan du prøve toadmin.dk TLS Scanner.

TLS-scanning

Du kan enten bygge TLS-Scan fra kilde eller download binær til Linux/OSX. Den udtrækker certifikatoplysninger fra serveren og udskriver følgende metrics i JSON-format.

  • Kontrol af værtsnavnsbekræftelse
  • TLS kompressionstjek
  • Tjek af opregning af krypterings- og TLS-versioner
  • Kontrol af genbrug af sessioner

Det understøtter TLS-, SMTP-, STARTTLS- og MySQL-protokoller. Du kan også integrere det resulterende output i en loganalysator som Splunk, ELK.

Cipher Scan

Et hurtigt værktøj til at analysere, hvad HTTPS-webstedet understøtter alle ciphers. Cipher Scan har også en mulighed for at vise output i JSON-format. Det er indpakning og internt ved hjælp af OpenSSL-kommando.

SSL revision

SSL revision er et open source-værktøj til at verificere certifikatet og understøtte protokollen, chiffer og karakter baseret på SSL Labs.

Jeg håber, at ovenstående open source-værktøjer hjælper dig med at integrere den kontinuerlige scanning med din eksisterende loganalysator og lette fejlfindingen.