10 GRATIS SSL / TLS-felsökningsverktyg för webbansvarig

Du behöver ofta felsöka SSL / TLS-relaterade problem medan du arbetar som webbingenjör, webbansvarig eller systemadministratör.


Det finns gott om onlineverktyg för SSL-certifikat, Testa SSL / TLS-sårbarheter, men när det gäller att testa intranätbaserad URL, VIP, IP, kommer de inte att vara till hjälp.

För att felsöka intranätresurser behöver du en fristående programvara / verktyg som du kan installera i ditt nätverk och utföra ett nödvändigt test.

Det kan finnas olika scenarier, som:

  • Har problem under implementering av SSL-certifikat med webbserver
  • Vill du säkerställa senaste / speciella chiffer, protokoll används
  • Efter implementering, vill verifiera konfigurationen
  • Säkerhetsrisk i ett penetrationstestresultat

Följande verktyg är praktiska för att felsöka sådana problem.

DeepViolet

DeepViolet är ett java-baserat SSL / TLS-skannverktyg tillgängligt i binär, eller så kan du kompilera med källkod.

Om du letar efter ett alternativ till SSL Labs som kan användas i ett internt nätverk, skulle DeepViolet vara ett bra val. Den söker efter följande.

  • Svagt chiffer exponerat
  • Svag signeringsalgoritm
  • Status för återkallande av certifiering
  • Certifikatets utgångsstatus
  • Visualisera trust-chain, en självsignerad rot

SSL Diagnos

Utvärdera snabbt SSL-styrkan på din webbplats. SSL Diagnos extrahera SSL-protokoll, chiffersviter, hjärta, BEAST.

Inte bara HTTPS, utan du kan testa SSL-styrka för SMTP, SIP, POP3 och FTPS.

SSLyze

SSLyze är ett Python-bibliotek och kommandoradsverktyg som ansluter till SSL-endpoint och utför en skanning för att identifiera alla SSL / TLS-misskonfigurationer.

Skanna genom SSLyze går snabbt eftersom ett test distribueras genom flera processer. Om du är en utvecklare eller vill integrera med din befintliga applikation har du ett alternativ att skriva resultatet i XML- eller JSON-format.

SSLyze är också tillgängligt i Kali Linux.

OpenSSL

Underskatta inte OpenSSL, ett av de kraftfulla fristående verktyg som finns tillgängliga för Windows eller Linux för att utföra olika SSL-relaterade uppgifter som verifiering, CSR-generation, certifieringskonvertering, etc..

SSL Labs Scan

Älskar du Qualys SSL Labs? Du är inte ensam; JAg älskar det också.

Om du letar efter ett kommandoradsverktyg för SSL-laboratorier för automatiserad eller bulktestning, då SSL Labs Scan skulle vara användbart.

SSL-skanning

SSL-skanning är kompatibel med Windows, Linux och MAC. SSL Scan hjälper snabbt att identifiera följande mätvärden.

  • Markera SSLv2 / SSLv3 / CBC / 3DES / RC4 / chiffer
  • Rapportera svag (<40bit), noll / anonym chiffer
  • Verifiera TLS-komprimering, sårbarhet i hjärtat
  • och mycket mer…

Om du arbetar med chifferrelaterade problem, skulle en SSL-skanning vara ett användbart verktyg för att snabbt spåra felsökningen.

TestSSL

Som namnet antyder, TestSSL är ett kommandoradsverktyg som är kompatibelt med Linux eller OS. Den testar alla väsentliga mätvärden och ger status, vare sig det är bra eller dåligt.

Ex:

Testa protokoll via uttag bortsett från SPDY + HTTP2

SSLv2 erbjuds inte (OK)
SSLv3 erbjuds inte (OK)
TLS 1 erbjuds
TLS 1.1 erbjuds
TLS 1.2 erbjuds (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (annonseras)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (erbjuds)

Testa ~ standardkrypteringskategorier

NULL-chiffer (ingen kryptering) erbjuds inte (OK)
Anonyma NULL-cifrar (ingen verifiering) erbjuds inte (OK)
Exportchiprar (utan ADH + NULL) erbjuds inte (OK)
LÅG: 64 bit + DES-kryptering (utan export) erbjuds inte (OK)
Svaga 128-bitars chiffer (SEED, IDEA, RC [2,4]) erbjuds inte (OK)
Triple DES Ciphers (Medium) erbjuds inte (OK)
Hög kryptering (AES + Camellia, ingen AEAD) erbjuds (OK)
Stark kryptering (AEAD-cifrar) erbjuds (OK)

Testa serverpreferenser

Har servercifferordning? Ja OK)
Förhandlat protokoll TLSv1.2
Förhandlat chiffer ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Chifferordning
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testa sårbarheter

Heartbleed (CVE-2014-0160) inte sårbar (OK), ingen hjärtslagförlängning
CCS (CVE-2014-0224) inte sårbar (OK)
Ticketbleed (CVE-2016-9244), experiment. inte sårbar (OK)
Secure Renegotiation (CVE-2009-3555) inte sårbar (OK)
Säker klientinitierad omförhandling är inte sårbar (OK)
CRIME, TLS (CVE-2012-4929) inte sårbara (OK)
BREACH (CVE-2013-3587) potentiellt INTE ok, använder gzip HTTP-komprimering. – levereras endast "/" testade
Kan ignoreras för statiska sidor eller om inga hemligheter finns på sidan
POODLE, SSL (CVE-2014-3566) inte sårbar (OK)
TLS_FALLBACK_SCSV (RFC 7507) Attacker för att förhindra nedgradering stöds (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) inte sårbar (OK)
FREAK (CVE-2015-0204) inte sårbar (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) inte sårbar för denna värd och port (OK)
se till att du inte använder detta certifikat någon annanstans med SSLv2-aktiverade tjänster
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 kan hjälpa dig att ta reda på
LOGJAM (CVE-2015-4000), experimentell inte sårbar (OK): inga DH EXPORT-chiffer, ingen DH-nyckel upptäckt
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
SÅRBAR – men stöder också högre protokoll (möjlig begränsning): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, använder ciffer block chaining (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) inga RC4-chefer detekterade (OK)

Som ni kan se täcker det ett stort antal sårbarheter, chifferpreferenser, protokoll etc. TestSSL.sh finns också tillgängligt i en dockningsbild.

Om du behöver göra en fjärrskanning med testssl.sh kan du prova Geekflare TLS-skanner.

TLS Scan

Du kan antingen bygga TLS-Scan från källa eller ladda ner binär för Linux / OSX. Den extraherar certifikatinformation från servern och skriver ut följande mätvärden i JSON-format.

  • Verifieringskontroller av värdnamn
  • TLS-komprimeringskontroller
  • Numereringskontroller för chiffer och TLS-version
  • Kontroller av sessionen återanvänds

Det stöder TLS-, SMTP-, STARTTLS- och MySQL-protokoll. Du kan också integrera den resulterande utgången i en logganalysator som Splunk, ELK.

Cipher Scan

Ett snabbt verktyg för att analysera vad HTTPS-webbplatsen stöder alla chiffer. Cipher Scan har också ett alternativ att visa utdata i JSON-format. Det är omslaget och internt med hjälp av OpenSSL-kommandot.

SSL-granskning

SSL-granskning är ett öppen källkodsverktyg för att verifiera certifikatet och stödja protokollet, cifrarna och betyg baserat på SSL Labs.

Jag hoppas att ovanstående verktyg med öppen källkod hjälper dig att integrera kontinuerlig skanning med din befintliga logganalysator och underlätta felsökningen.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map