Anda sering dipaksa untuk menyelesaikan masalah SSL / TLS jika Anda bekerja sebagai insinyur web, webmaster, atau administrator sistem.
Ada banyak alat online untuk bekerja dengan
sertifikat SSL , menguji kelemahan dalam protokol SSL / TLS, tetapi ketika datang untuk menguji jaringan internal berdasarkan URL, VIP, IP, maka mereka tidak mungkin berguna.
Untuk mendiagnosis sumber daya jaringan internal, Anda memerlukan perangkat lunak / alat terpisah yang dapat Anda instal di jaringan Anda dan melakukan verifikasi yang diperlukan.
Berbagai skenario dimungkinkan, misalnya:
- ada masalah menginstal sertifikat SSL di server web;
- Diperlukan untuk menggunakan protokol cipher / spesifik terbaru;
- Saya ingin memeriksa konfigurasi setelah commissioning;
- risiko keamanan terdeteksi selama tes kerentanan .
Alat-alat berikut ini akan membantu dalam menyelesaikan masalah seperti itu.
Alat sumber terbuka untuk mengatasi masalah SSL / TLS:
- Deepviolet
- Diagnosis SSL
- SSLyze
- Openssl
- Pemindaian Labs SSL
- Pemindaian SSL
- Uji SSL
- Pemindaian TLS
- Pemindaian sandi
- Audit SSL
1. DeepViolet
DeepViolet adalah alat analisis SSL / TLS yang ditulis dalam bahasa Java, tersedia dalam kode biner, Anda juga dapat mengompilasinya dari kode sumber.
Jika Anda mencari alternatif untuk Lab SSL untuk digunakan di jaringan internal Anda, maka DeepViolet akan menjadi pilihan yang baik. Ini memindai yang berikut:
- penggunaan enkripsi yang lemah;
- algoritma tanda tangan lemah;
- status pencabutan sertifikat;
- status validitas sertifikat ;
- visualisasi rantai kepercayaan, sertifikat akar yang ditandatangani sendiri.
2. Diagnosis SSL
Dengan cepat menilai keandalan SSL di situs web Anda.
SSL Diagnos menganalisis protokol SSL, algoritma enkripsi,
Heartbleed , BEAST kerentanan.
Digunakan tidak hanya untuk HTTPS, Anda dapat memeriksa stabilitas SSL untuk SMTP, SIP, POP3 dan FTPS.
3. SSLyze
SSLyze adalah pustaka Python dan alat baris perintah yang terhubung ke titik akhir SSL dan memindai untuk menemukan konfigurasi SSL / TLS yang hilang.
Memindai melalui SSL cepat, karena proses verifikasi didistribusikan di antara beberapa proses. Jika Anda seorang pengembang atau ingin berintegrasi ke dalam aplikasi yang ada, maka Anda memiliki kesempatan untuk menulis hasilnya dalam format XML atau JSON.
SSLyze juga tersedia di
Kali Linux .
4. OpenSSL
Jangan meremehkan
OpenSSL - salah satu alat mandiri paling kuat yang tersedia untuk Windows atau Linux untuk melakukan berbagai tugas yang berkaitan dengan SSL, seperti verifikasi, pembangkitan CSR,
konversi format sertifikat , dll.
5. Pemindaian Labs SSL
Suka Qualys SSL Labs? Anda tidak sendirian - saya juga menyukainya.
Jika Anda mencari alat baris perintah untuk Lab SSL untuk pengujian otomatis atau massal, maka
Pemindaian Lab SSL pasti akan berguna.
6. Pemindaian SSL
Pemindaian SSL kompatibel dengan Windows, Linux, dan Mac. Pemindaian SSL membantu Anda dengan cepat mengidentifikasi metrik berikut:
- Sorotan enkripsi SSLv2 / SSLv3 / CBC / 3DES / RC4;
- pesan tentang enkripsi lemah (<40 bit), nol atau tidak dikenal;
- periksa kompresi TLS, kerentanan Heartbleed;
- dan masih banyak lagi ...
Jika Anda bekerja pada masalah enkripsi, Pemindaian SSL akan menjadi alat yang berguna untuk mempercepat pemecahan masalah.
7. Uji SSL
Sesuai namanya,
TestSSL adalah alat baris perintah yang kompatibel dengan Linux dan OS lainnya. Ia memeriksa semua indikator terpenting dan menunjukkan apa yang ada dalam urutan dan apa yang tidak.
Sebagai contohTesting protocols via sockets except SPDY+HTTP2
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)
Testing ~standard cipher categories
NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)
Testing server preferences
Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256
Testing vulnerabilities
Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Seperti yang Anda lihat, itu mencakup sejumlah besar kerentanan, preferensi enkripsi, protokol, dll.
TestSSL.sh juga tersedia dalam
gambar Docker .
8. Pemindaian TLS
Anda dapat mengkompilasi
TLS-Scan dari kode sumber atau mengunduh kode biner untuk Linux / OSX. Itu mengekstrak informasi dari sertifikat dari server dan menampilkan metrik berikut dalam format JSON:
- verifikasi nama host;
- Pemeriksaan kompresi TLS
- memeriksa penomoran versi enkripsi dan TLS;
- periksa sesi penggunaan kembali.
Ini mendukung protokol TLS, SMTP, STARTTLS dan MySQL. Anda juga dapat mengintegrasikan hasilnya ke
dalam penganalisis log , misalnya, seperti Splunk, ELK.
9. Pemindaian Sandi
Alat cepat untuk menganalisis jenis enkripsi mana yang didukung di situs web menggunakan protokol HTTPS.
Pemindaian Cipher juga menyediakan kemampuan untuk menampilkan hasil dalam format JSON. Ini adalah shell yang menggunakan perintah paket OpenSSL.
10. Audit SSL
SSL Audit adalah alat sumber terbuka untuk verifikasi sertifikat dan dukungan protokol, enkripsi, dan standar berdasarkan Lab SSL.
Saya harap alat sumber terbuka yang disebutkan di atas membantu Anda mengintegrasikan pemindaian berkelanjutan ke dalam penganalisis log yang ada dan mempermudah pemecahan masalah.
Lihatlah VPS.today , situs untuk mencari server virtual. 1500 tarif dari 130 host, antarmuka yang nyaman dan sejumlah besar kriteria untuk menemukan server virtual terbaik.