Geekly articles weekly

10 kostenlose SSL / TLS-Diagnosetools für Webmaster

Sie sind häufig gezwungen, SSL / TLS-Probleme zu lösen, wenn Sie als Webingenieur, Webmaster oder Systemadministrator arbeiten.

Es gibt viele Online-Tools zum Arbeiten mit SSL-Zertifikaten , zum Testen von Schwachstellen in SSL / TLS-Protokollen. Wenn Sie jedoch das interne Netzwerk anhand von URL, VIP, IP testen, ist es unwahrscheinlich, dass sie nützlich sind.



Um die Ressourcen des internen Netzwerks zu diagnostizieren, benötigen Sie separate Software / Tools, die Sie in Ihrem Netzwerk installieren und die erforderliche Überprüfung durchführen können.

Es sind verschiedene Szenarien möglich, zum Beispiel:

  • Es gibt Probleme beim Installieren des SSL-Zertifikats auf dem Webserver.
  • Es ist erforderlich, das neueste / spezifische Verschlüsselungsprotokoll zu verwenden.
  • Ich möchte die Konfiguration nach der Inbetriebnahme überprüfen.
  • Bei Schwachstellentests wurde ein Sicherheitsrisiko festgestellt.

Die folgenden Tools sind hilfreich bei der Lösung solcher Probleme.

Open Source-Tools zur Fehlerbehebung bei SSL / TLS:


  1. Deepviolet
  2. SSL-Diagnose
  3. SSLyze
  4. Öffnet
  5. SSL Labs Scan
  6. SSL-Scan
  7. Testen Sie SSL
  8. TLS-Scan
  9. Chiffrescan
  10. SSL-Prüfung

1. DeepViolet


DeepViolet ist ein in Java geschriebenes SSL / TLS-Analysetool, das im Binärcode verfügbar ist. Sie können es auch aus dem Quellcode kompilieren.

Wenn Sie nach einer Alternative zu SSL Labs für Ihr internes Netzwerk suchen, ist DeepViolet eine gute Wahl. Es wird Folgendes gescannt:

  • Verwendung schwacher Verschlüsselung;
  • schwacher Signaturalgorithmus;
  • Status des Widerrufs von Zertifikaten;
  • Gültigkeitsstatus des Zertifikats ;
  • Visualisierung einer Vertrauenskette, eines selbstsignierten Stammzertifikats.

2. SSL-Diagnose


Beurteilt schnell die Zuverlässigkeit von SSL auf Ihrer Website. SSL Diagnos analysiert das SSL-Protokoll, Verschlüsselungsalgorithmen, Heartbleed- und BEAST-Schwachstellen.

Wird nicht nur für HTTPS verwendet, können Sie die Stabilität von SSL für SMTP, SIP, POP3 und FTPS überprüfen.

3. SSLyze


SSLyze ist eine Python-Bibliothek und ein Befehlszeilentool, das eine Verbindung zu einem SSL-Endpunkt herstellt und nach fehlenden SSL / TLS-Konfigurationen sucht .

Das Scannen über SSLyze ist schnell, da der Überprüfungsprozess auf mehrere Prozesse verteilt ist. Wenn Sie Entwickler sind oder in Ihre vorhandene Anwendung integrieren möchten, haben Sie die Möglichkeit, das Ergebnis im XML- oder JSON-Format zu schreiben.

SSLyze ist auch unter Kali Linux verfügbar.

4. OpenSSL


Unterschätzen Sie nicht OpenSSL - eines der leistungsstärksten eigenständigen Tools für Windows oder Linux, mit dem Sie verschiedene Aufgaben im Zusammenhang mit SSL ausführen können, z. B. Überprüfung, CSR-Generierung, Konvertierung des Zertifikatformats usw.

5. SSL Labs Scan


Lieben Sie Qualys SSL Labs? Du bist nicht allein - ich mag es auch.

Wenn Sie nach einem Befehlszeilentool für SSL Labs für automatisierte Tests oder Massentests suchen, ist SSL Labs Scan sicherlich hilfreich.

6. SSL-Scan


SSL Scan ist kompatibel mit Windows, Linux und Mac. Mit SSL Scan können Sie die folgenden Metriken schnell identifizieren:

  • Hervorheben der SSLv2 / SSLv3 / CBC / 3DES / RC4-Verschlüsselung;
  • Meldung über schwache (<40 Bit), Null oder unbekannte Verschlüsselung;
  • Überprüfen Sie die TLS-Komprimierung und die Heartbleed-Sicherheitsanfälligkeit.
  • und vieles mehr…

Wenn Sie an Verschlüsselungsproblemen arbeiten, ist SSL Scan ein nützliches Tool, um die Fehlerbehebung zu beschleunigen.

7. Testen Sie SSL


Wie der Name schon sagt, ist TestSSL ein Befehlszeilentool, das mit Linux und anderen Betriebssystemen kompatibel ist. Er überprüft alle wichtigen Indikatoren und zeigt, was in Ordnung ist und was nicht.

Zum Beispiel
Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Wie Sie sehen können, deckt es eine große Anzahl von Schwachstellen, Verschlüsselungseinstellungen, Protokollen usw. ab.

TestSSL.sh ist auch im Docker-Image verfügbar.

8. TLS-Scan


Sie können TLS-Scan aus dem Quellcode kompilieren oder Binärcode für Linux / OSX herunterladen. Es extrahiert Informationen aus dem Zertifikat vom Server und zeigt die folgenden Metriken im JSON-Format an:

  • Überprüfung des Hostnamens;
  • TLS-Komprimierungsprüfung
  • Überprüfen der Versionsnummerierung von Verschlüsselung und TLS;
  • Überprüfen Sie die Wiederverwendungssitzungen.

Es unterstützt die Protokolle TLS, SMTP, STARTTLS und MySQL. Sie können die Ergebnisse auch in einen Protokollanalysator integrieren, z. B. Splunk oder ELK.

9. Cipher Scan


Ein schnelles Tool zur Analyse, welche Verschlüsselungsarten auf Websites mithilfe des HTTPS-Protokolls unterstützt werden. Cipher Scan bietet auch die Möglichkeit, Ergebnisse im JSON-Format anzuzeigen. Dies ist eine Shell, die OpenSSL-Paketbefehle verwendet.

10. SSL-Prüfung


SSL Audit ist ein Open Source-Tool für die Überprüfung von Zertifikaten und die Unterstützung von Protokollen, Verschlüsselung und Standards, die auf SSL Labs basieren.

Ich hoffe, die genannten Open Source-Tools helfen Ihnen dabei, das kontinuierliche Scannen in Ihre vorhandenen Protokollanalysatoren zu integrieren und die Fehlerbehebung zu vereinfachen.


Schauen Sie sich VPS.today an , eine Website zum Auffinden virtueller Server. 1500 Tarife von 130 Hostern, eine praktische Schnittstelle und eine Vielzahl von Kriterien, um den besten virtuellen Server zu finden.

Source: https://habr.com/ru/post/de422751/

More articles:


All Articles