✳️ 🌳 📗 10 herramientas de diagnóstico SSL / TLS gratuitas para webmasters 💹 ❇️ 🤽🏾

A menudo tiene que resolver problemas de SSL / TLS si trabaja como ingeniero web, webmaster o administrador del sistema.

Existen muchas herramientas en línea para trabajar con certificados SSL , probar debilidades en los protocolos SSL / TLS, pero cuando se trata de probar la red interna basada en URL, VIP, IP, es poco probable que sean útiles.

Para diagnosticar los recursos de la red interna, necesita herramientas / software independientes que pueda instalar en su red y llevar a cabo la verificación necesaria.

Son posibles varios escenarios, por ejemplo:

hay problemas al instalar el certificado SSL en el servidor web;
Es necesario utilizar el último cifrado / protocolo específico;
Quiero verificar la configuración después de la puesta en marcha;
Se detectó un riesgo de seguridad durante las pruebas de vulnerabilidad .

Las siguientes herramientas serán útiles para resolver estos problemas.

Herramientas de código abierto para solucionar problemas de SSL / TLS:

1. DeepViolet

DeepViolet es una herramienta de análisis SSL / TLS escrita en lenguaje Java, disponible en código binario, también puede compilarla desde el código fuente.

Si está buscando una alternativa a SSL Labs para usar en su red interna, entonces DeepViolet sería una buena opción. Escanea lo siguiente:

uso de cifrado débil;
algoritmo de firma débil;
estado de revocación del certificado;
estado de validez del certificado ;
visualización de una cadena de confianza, un certificado raíz autofirmado.

2. Diagnósticos SSL

Evalúa rápidamente la confiabilidad de SSL en su sitio web. SSL Diagnos analiza el protocolo SSL, algoritmos de cifrado, Heartbleed , vulnerabilidades BEAST.

Utilizado no solo para HTTPS, puede verificar la estabilidad de SSL para SMTP, SIP, POP3 y FTPS.

3. SSLyze

SSLyze es una biblioteca de Python y herramientas de línea de comandos que se conectan a un punto final SSL y escanean para descubrir cualquier configuración SSL / TLS faltante.

Escanear a través de SSLyze es rápido, porque el proceso de verificación se distribuye entre varios procesos. Si es desarrollador o desea integrarse en su aplicación existente, tiene la oportunidad de escribir el resultado en formato XML o JSON.

SSLyze también está disponible en Kali Linux .

4. OpenSSL

No subestime OpenSSL , una de las herramientas independientes más potentes disponibles para Windows o Linux para realizar diversas tareas relacionadas con SSL, como verificación, generación de CSR, conversión de formato de certificado , etc.

5. Escaneo SSL Labs

Love Qualys SSL Labs? No estás solo, también me gusta.

Si está buscando una herramienta de línea de comandos para SSL Labs para pruebas automatizadas o masivas, entonces SSL Labs Scan ciertamente será útil.

6. Escaneo SSL

SSL Scan es compatible con Windows, Linux y Mac. SSL Scan lo ayuda a identificar rápidamente las siguientes métricas:

Resaltado de cifrado SSLv2 / SSLv3 / CBC / 3DES / RC4;
mensaje sobre cifrado débil (<40 bit), cero o desconocido;
compruebe la compresión TLS, vulnerabilidad Heartbleed;
y mucho mas ...

Si está trabajando en problemas de cifrado, SSL Scan será una herramienta útil para acelerar la resolución de problemas.

7. Prueba SSL

Como su nombre lo indica, TestSSL es una herramienta de línea de comandos compatible con Linux y otros sistemas operativos. Comprueba todos los indicadores más importantes y muestra qué está en orden y qué no.

Por ejemplo

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Como puede ver, cubre una gran cantidad de vulnerabilidades, preferencias de cifrado, protocolos, etc.

TestSSL.sh también está disponible en la imagen de Docker .

8. Escaneo TLS

Puede compilar TLS-Scan desde el código fuente o descargar código binario para Linux / OSX. Extrae información del certificado del servidor y muestra las siguientes métricas en formato JSON:

verificación de nombre de host;
Comprobación de compresión TLS
comprobar la numeración de la versión de cifrado y TLS;
verificar las sesiones de reutilización.

Es compatible con los protocolos TLS, SMTP, STARTTLS y MySQL. También puede integrar los resultados en un analizador de registros , por ejemplo, Splunk, ELK.

9. Escaneo de cifrado

Una herramienta rápida para analizar qué tipos de cifrado son compatibles con los sitios web que utilizan el protocolo HTTPS. Cipher Scan también proporciona la capacidad de mostrar resultados en formato JSON. Este es un shell que utiliza los comandos del paquete OpenSSL.

10. Auditoría SSL

SSL Audit es una herramienta de código abierto para verificación de certificados y soporte de protocolos, encriptación y estándares basados en SSL Labs.

Espero que las herramientas de código abierto mencionadas lo ayuden a integrar el escaneo continuo en sus analizadores de registros existentes y facilitar la resolución de problemas.

Eche un vistazo a VPS.today , un sitio para encontrar servidores virtuales. 1500 tarifas de 130 anfitriones, una interfaz conveniente y una gran cantidad de criterios para encontrar el mejor servidor virtual.

10 herramientas de diagnóstico SSL / TLS gratuitas para webmasters