غالبًا ما يتعين عليك حل مشكلات SSL / TLS إذا كنت تعمل كمهندس ويب أو مشرف موقع أو مسؤول نظام.
هناك العديد من الأدوات عبر الإنترنت للعمل مع
شهادات SSL ، واختبار نقاط الضعف في بروتوكولات SSL / TLS ، ولكن عندما يتعلق الأمر باختبار الشبكة الداخلية استنادًا إلى URL ، VIP ، IP ، فمن غير المرجح أن تكون مفيدة.
لتشخيص موارد الشبكة الداخلية ، تحتاج إلى برامج / أدوات منفصلة يمكنك تثبيتها على شبكتك وإجراء التحقق اللازم.
السيناريوهات المختلفة ممكنة ، على سبيل المثال:
- توجد مشاكل في تثبيت شهادة SSL على خادم الويب ؛
- مطلوب لاستخدام أحدث التشفير / البروتوكول ؛
- أريد التحقق من التكوين بعد التكليف ؛
- تم الكشف عن خطر أمني أثناء اختبارات الضعف .
ستكون الأدوات التالية مفيدة في حل هذه المشكلات.
أدوات مفتوحة المصدر لاستكشاف أخطاء SSL / TLS:
- Deepviolet
- تشخيصات SSL
- SSLyze
- مفتوح
- مسح مختبرات SSL
- مسح SSL
- اختبار SSL
- مسح TLS
- مسح التشفير
- تدقيق SSL
1. DeepViolet
DeepViolet هي أداة تحليل SSL / TLS مكتوبة بلغة جافا وهي متاحة في التعليمات البرمجية الثنائية ؛ يمكنك أيضًا تجميعها من شفرة المصدر.
إذا كنت تبحث عن بديل لـ SSL Labs للاستخدام على شبكتك الداخلية ، فإن DeepViolet سيكون خيارًا جيدًا. يقوم بمسح ما يلي:
- استخدام التشفير الضعيف ؛
- خوارزمية توقيع ضعيفة ؛
- حالة إبطال الشهادة ؛
- حالة صلاحية الشهادة ؛
- تصور سلسلة ثقة ، شهادة جذر موقعة ذاتيا.
2. تشخيص SSL
تقييم موثوقية طبقة المقابس الآمنة على موقعك على الويب بسرعة. تحلل
تشخيصات SSL بروتوكول SSL وخوارزميات التشفير ونقاط الضعف ونقاط الضعف BEAST.
يستخدم ليس فقط لـ HTTPS ، يمكنك التحقق من استقرار SSL لـ SMTP و SIP و POP3 و FTPS.
3. SSLyze
SSLyze هي مكتبة Python وأدوات سطر الأوامر التي تتصل
بنقطة نهاية SSL والمسح الضوئي لاكتشاف أي تكوين SSL / TLS مفقود.
المسح من خلال SSLyze سريع ، لأن عملية التحقق موزعة بين عدة عمليات. إذا كنت مطورًا أو ترغب في الاندماج في تطبيقك الحالي ، فلديك فرصة لكتابة النتيجة بتنسيق XML أو JSON.
يتوفر SSLyze أيضًا على
Kali Linux .
4. OpenSSL
لا تقلل من شأن
OpenSSL - واحدة من أقوى الأدوات المستقلة المتاحة لنظام التشغيل Windows أو Linux لأداء المهام المختلفة المتعلقة بـ SSL ، مثل التحقق ، وإنشاء CSR ،
وتحويل تنسيق الشهادة ، إلخ.
5. مسح مختبرات SSL
هل تحب مختبرات Qualys SSL؟ أنت لست وحدك - أنا أيضا أحب ذلك.
إذا كنت تبحث عن أداة سطر الأوامر لـ SSL Labs للاختبار الآلي أو المجمع ، فسيكون
فحص SSL Labs مفيدًا بالتأكيد.
6. مسح SSL
مسح SSL متوافق مع أنظمة التشغيل Windows و Linux و Mac. يساعدك مسح SSL في تحديد المقاييس التالية بسرعة:
- تمييز تشفير SSLv2 / SSLv3 / CBC / 3DES / RC4 ؛
- رسالة حول ضعف (<40 بت) أو تشفير صفري أو غير معروف ؛
- تحقق من ضغط TLS ، الضعف Heartbleed ؛
- وأكثر من ذلك بكثير ...
إذا كنت تعمل على مشكلات التشفير ، فسيكون مسح SSL أداة مفيدة لتسريع استكشاف الأخطاء وإصلاحها.
7. اختبار SSL
كما يوحي الاسم ،
TestSSL هو أداة سطر أوامر متوافقة مع Linux وأنظمة تشغيل أخرى. ويتحقق من جميع المؤشرات الأكثر أهمية ويظهر ما هو منظم وما هو ليس كذلك.
على سبيل المثالTesting protocols via sockets except SPDY+HTTP2
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)
Testing ~standard cipher categories
NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)
Testing server preferences
Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256
Testing vulnerabilities
Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
كما ترى ، فهو يغطي عددًا كبيرًا من الثغرات وتفضيلات التشفير والبروتوكولات وما إلى ذلك.
TestSSL.sh متاح أيضًا في
صورة Docker .
8. مسح TLS
يمكنك ترجمة
TLS-Scan من شفرة المصدر أو تنزيل كود ثنائي لنظام Linux / OSX. يستخرج المعلومات من الشهادة من الخادم ويعرض المقاييس التالية بتنسيق JSON:
- التحقق من اسم المضيف ؛
- فحص ضغط TLS
- التحقق من رقم إصدار التشفير و TLS ؛
- تحقق من جلسات إعادة الاستخدام.
وهو يدعم بروتوكولات TLS و SMTP و STARTTLS و MySQL. يمكنك أيضًا دمج النتائج في
محلل سجلات ، على سبيل المثال ، مثل Splunk و ELK.
9. مسح التشفير
أداة سريعة لتحليل أنواع التشفير المدعومة على مواقع الويب باستخدام بروتوكول HTTPS. يوفر
Cipher Scan أيضًا القدرة على عرض النتائج بتنسيق JSON. هذا هو غلاف يستخدم أوامر حزمة OpenSSL.
10. تدقيق SSL
تدقيق SSL هو أداة مفتوحة المصدر للتحقق من الشهادة ودعم البروتوكول والتشفير والمعايير على أساس مختبرات SSL.
آمل أن تساعدك الأدوات مفتوحة المصدر المذكورة على دمج المسح المستمر في محللات السجلات الموجودة لديك وتسهيل استكشاف الأخطاء وإصلاحها.
ألق نظرة على VPS.today ، موقع للعثور على خوادم افتراضية. 1500 تعريفة من 130 مضيفًا ، وواجهة مريحة وعددًا كبيرًا من المعايير للعثور على أفضل خادم افتراضي.