Spread the love

Вам часто приходится отлаживать проблемы, связанные с SSL/TLS, когда вы работаете веб-инженером, веб-мастером или системным администратором.

Существует множество онлайн-инструментов для SSL-сертификата, тестирования уязвимостей SSL/TLS, но когда дело доходит до тестирования URL-адресов, VIP, IP-адресов в интрасети, они бесполезны.

Для устранения неполадок с ресурсами интрасети вам потребуется отдельное программное обеспечение/инструменты, которые вы можете установить в своей сети и выполнить необходимый тест.

Возможны различные сценарии, например:

  • Возникли проблемы во время реализации SSL-сертификата с веб-сервером
  • Хотите убедиться, что используется последний/конкретный шифр, протокол
  • После внедрения, хотите проверить конфигурацию
  • Угроза безопасности обнаружена в результате теста на проникновение

Следующие инструменты будут полезны для устранения таких проблем.

DeepViolet

DeepViolet это инструмент сканирования SSL/TLS на основе Java, доступный в двоичном виде, или вы можете скомпилировать его с исходным кодом.

Если вы ищете альтернативу SSL Labs для использования во внутренней сети, то DeepViolet будет хорошим выбором. Он сканирует следующее.

  • Слабый шифр раскрыт
  • Слабый алгоритм подписи
  • Статус отзыва сертификата
  • Срок действия сертификата
  • Визуализируйте цепочку доверия, самозаверяющий корень

Диагностика SSL

Быстро оцените надежность SSL вашего веб-сайта. Диагностика SSL извлечь протокол SSL, комплекты шифров, heartbleed, BEAST.

Вы можете проверить не только HTTPS, но и надежность SSL для SMTP, SIP, POP3 и FTPS.

SSLyze

SSLyze — это библиотека Python и инструмент командной строки, который подключается к конечной точке SSL и выполняет сканирование для выявления любой неправильной конфигурации SSL/TLS.

Сканирование через SSLyze выполняется быстро, поскольку тест распределяется по нескольким процессам. Если вы разработчик или хотите интегрироваться с существующим приложением, у вас есть возможность записать результат в формате XML или JSON.

SSLyze также доступен в Kali Linux. Если вы новичок в Kali, узнайте, как установить Kali Linux на VMWare Fusion.

OpenSSL

Не стоит недооценивать OpenSSL, один из мощных автономных инструментов, доступных для Windows или Linux для выполнения различных задач, связанных с SSL, таких как проверка, генерация CSR, преобразование сертификации и т. д.

Лаборатория SSL Сканирование

Вам нравятся лаборатории Qualys SSL? Ты не одинок; Я люблю его тоже.

Если вы ищете инструмент командной строки для SSL Labs для автоматического или массового тестирования, то Лаборатория SSL Сканирование было бы полезно.

SSL-сканирование

SSL-сканирование совместим с Windows, Linux и MAC. Сканирование SSL быстро помогает определить следующие показатели.

  • Выделите шифры SSLv2/SSLv3/CBC/3DES/RC4/
  • Сообщить о слабых (<40 бит), нулевых/анонимных шифрах
  • Проверить сжатие TLS, уязвимость Heartbleed
  • и многое другое…

Если вы работаете над проблемами, связанными с шифрованием, то сканирование SSL будет полезным инструментом для быстрого устранения неполадок.

toadmin.ru API сканера TLS

Еще одним отличным решением для веб-мастеров может быть API сканера TLS toadmin.ru.

Это надежный метод проверки протокола TLS, CN, SAN и других сведений о сертификате за доли секунды. И вы можете попробовать это без риска с бесплатной подпиской до 3000 запросов в месяц.

Тем не менее, базовый премиум-уровень добавляет более высокую частоту запросов и 10 000 вызовов API всего за 5 долларов в месяц.

Тест SSL

Как следует из названия, Тест SSL это инструмент командной строки, совместимый с Linux или ОС. Он проверяет все основные показатели и дает статус, хороший или плохой.

Бывший:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Как видите, он охватывает большое количество уязвимостей, параметров шифрования, протоколов и т. д. TestSSL.sh также доступен в образ докера.

Если вам нужно выполнить удаленное сканирование с помощью testsl.sh, вы можете попробовать toadmin.ru TLS Scanner.

TLS-сканирование

Вы можете либо построить TLS-сканирование из исходного кода или скачать бинарный файл для Linux/OSX. Он извлекает информацию о сертификате с сервера и выводит следующие показатели в формате JSON.

  • Проверка имени хоста
  • Проверки сжатия TLS
  • Проверка перечисления версий шифра и TLS
  • Проверка повторного использования сеанса

Он поддерживает протоколы TLS, SMTP, STARTTLS и MySQL. Вы также можете интегрировать полученный вывод в анализатор журналов, такой как Splunk, ELK.

Сканирование шифра

Быстрый инструмент для анализа того, что веб-сайт HTTPS поддерживает все шифры. Сканирование шифра также имеет возможность отображать вывод в формате JSON. Это оболочка и внутреннее использование команды OpenSSL.

SSL-аудит

SSL-аудит — это инструмент с открытым исходным кодом для проверки сертификата и поддержки протокола, шифров и оценок на основе SSL Labs.

Я надеюсь, что вышеупомянутые инструменты с открытым исходным кодом помогут вам интегрировать непрерывное сканирование с вашим существующим анализатором журналов и упростить устранение неполадок.

x