Vous êtes souvent obligé de résoudre des problèmes SSL / TLS si vous travaillez en tant qu'ingénieur web, webmaster ou administrateur système.
Il existe de nombreux outils en ligne pour travailler avec
les certificats SSL , tester les faiblesses des protocoles SSL / TLS, mais quand il s'agit de tester le réseau interne basé sur URL, VIP, IP, il est peu probable qu'ils soient utiles.
Pour diagnostiquer les ressources du réseau interne, vous avez besoin de logiciels / outils distincts que vous pouvez installer sur votre réseau et effectuer la vérification nécessaire.
Différents scénarios sont possibles, par exemple:
- il y a des problèmes lors de l' installation du certificat SSL sur le serveur Web;
- Il est nécessaire d'utiliser le protocole de chiffrement le plus récent / spécifique;
- Je veux vérifier la configuration après la mise en service;
- un risque de sécurité a été détecté lors des tests de vulnérabilité .
Les outils suivants seront utiles pour résoudre ces problèmes.
Outils open source pour dépanner SSL / TLS:
- Deepviolet
- Diagnostics SSL
- SSLyze
- Openssl
- Analyse des laboratoires SSL
- Analyse SSL
- Testez SSL
- Analyse TLS
- Scan de chiffrement
- Audit SSL
1. DeepViolet
DeepViolet est un outil d'analyse SSL / TLS écrit en langage Java, disponible en code binaire, vous pouvez également le compiler à partir du code source.
Si vous recherchez une alternative aux laboratoires SSL pour une utilisation sur votre réseau interne, DeepViolet serait un bon choix. Il scanne les éléments suivants:
- utilisation d'un cryptage faible;
- algorithme de signature faible;
- état de révocation du certificat;
- état de validité du certificat ;
- visualisation d'une chaîne de confiance, un certificat racine auto-signé.
2. Diagnostics SSL
Évalue rapidement la fiabilité de SSL sur votre site Web.
SSL Diagnos analyse le protocole SSL, les algorithmes de chiffrement,
Heartbleed , les vulnérabilités BEAST.
Utilisé non seulement pour HTTPS, vous pouvez vérifier la stabilité de SSL pour SMTP, SIP, POP3 et FTPS.
3. SSLyze
SSLyze est une bibliothèque Python et des outils de ligne de commande qui se connectent à un point de terminaison SSL et analysent pour découvrir toute configuration SSL / TLS manquante.
La numérisation via SSLyze est rapide, car le processus de vérification est réparti entre plusieurs processus. Si vous êtes développeur ou souhaitez intégrer dans votre application existante, vous avez la possibilité d'écrire le résultat au format XML ou JSON.
SSLyze est également disponible sur
Kali Linux .
4. OpenSSL
Ne sous-estimez pas
OpenSSL - l'un des outils autonomes les plus puissants disponibles pour Windows ou Linux pour effectuer diverses tâches liées à SSL, telles que la vérification, la génération de CSR, la
conversion de format de certificat , etc.
5. Analyse des laboratoires SSL
Vous adorez les laboratoires SSL Qualys? Vous n'êtes pas seul - j'aime aussi ça.
Si vous recherchez un outil de ligne de commande pour SSL Labs pour des tests automatisés ou en masse, alors
SSL Labs Scan sera certainement utile.
6. Analyse SSL
SSL Scan est compatible avec Windows, Linux et Mac. SSL Scan vous aide à identifier rapidement les mesures suivantes:
- Mise en évidence du cryptage SSLv2 / SSLv3 / CBC / 3DES / RC4;
- message sur le chiffrement faible (<40 bits), zéro ou inconnu;
- vérifier la compression TLS, vulnérabilité Heartbleed;
- et bien plus encore ...
Si vous travaillez sur des problèmes de cryptage, le scan SSL sera un outil utile pour accélérer le dépannage.
7. Testez SSL
Comme son nom l'indique,
TestSSL est un outil en ligne de commande compatible avec Linux et d'autres systèmes d'exploitation. Il vérifie tous les indicateurs les plus importants et montre ce qui est en ordre et ce qui ne l'est pas.
Par exempleTesting protocols via sockets except SPDY+HTTP2
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)
Testing ~standard cipher categories
NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)
Testing server preferences
Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256
Testing vulnerabilities
Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Comme vous pouvez le voir, il couvre un grand nombre de vulnérabilités, de préférences de chiffrement, de protocoles, etc.
TestSSL.sh est également disponible dans l'
image Docker .
8. Analyse TLS
Vous pouvez compiler
TLS-Scan à partir du code source ou télécharger du code binaire pour Linux / OSX. Il extrait les informations du certificat du serveur et affiche les métriques suivantes au format JSON:
- vérification du nom d'hôte;
- Vérification de la compression TLS
- vérification de la numérotation des versions du cryptage et du TLS;
- vérifier les sessions de réutilisation.
Il prend en charge les protocoles TLS, SMTP, STARTTLS et MySQL. Vous pouvez également intégrer les résultats dans
un analyseur de journal , par exemple, tel que Splunk, ELK.
9. Cipher Scan
Un outil rapide pour analyser les types de cryptage pris en charge sur les sites Web utilisant le protocole HTTPS.
Cipher Scan offre également la possibilité d'afficher les résultats au format JSON. Il s'agit d'un shell qui utilise les commandes du package OpenSSL.
10. Audit SSL
SSL Audit est un outil open source pour la vérification des certificats et la prise en charge des protocoles, le chiffrement et les normes basés sur SSL Labs.
J'espère que les outils open source mentionnés vous aideront à intégrer l'analyse continue dans vos analyseurs de journaux existants et à faciliter le dépannage.
Jetez un œil à VPS.today , un site pour trouver des serveurs virtuels. 1500 tarifs de 130 hébergeurs, une interface pratique et un grand nombre de critères pour trouver le meilleur serveur virtuel.