Geralmente, você é forçado a resolver problemas de SSL / TLS se trabalhar como engenheiro da web, webmaster ou administrador do sistema.
Existem muitas ferramentas online para trabalhar com
certificados SSL , testando pontos fracos nos protocolos SSL / TLS, mas quando se trata de testar a rede interna com base em URL, VIP, IP, é improvável que sejam úteis.
Para diagnosticar os recursos da rede interna, você precisa de software / ferramentas separados que podem ser instalados na rede e realizar a verificação necessária.
São possíveis vários cenários, por exemplo:
As seguintes ferramentas serão úteis para resolver esses problemas.
Ferramentas de código aberto para solução de problemas de SSL / TLS:
- Deepviolet
- Diagnóstico SSL
- SSLyze
- Openssl
- Verificação SSL Labs
- Verificação SSL
- Teste SSL
- Digitalização TLS
- Verificação cifrada
- Auditoria SSL
1. DeepViolet
O DeepViolet é uma ferramenta de análise SSL / TLS escrita na linguagem Java, disponível em código binário, você também pode compilá-lo a partir do código-fonte.
Se você está procurando uma alternativa ao SSL Labs para uso em sua rede interna, o DeepViolet seria uma boa opção. Ele verifica o seguinte:
- uso de criptografia fraca;
- algoritmo de assinatura fraca;
- status de revogação de certificado;
- status de validade do certificado ;
- visualização de uma cadeia de confiança, um certificado raiz autoassinado.
2. Diagnóstico SSL
Avalia rapidamente a confiabilidade do SSL em seu site.
O Diagnóstico SSL analisa o protocolo SSL, algoritmos de criptografia,
Heartbleed , vulnerabilidades do BEAST.
Utilizado não apenas para HTTPS, você pode verificar a estabilidade do SSL para SMTP, SIP, POP3 e FTPS.
3. SSLyze
O SSLyze é uma biblioteca Python e uma ferramenta de linha de comando que se conecta a um terminal SSL e faz uma varredura para detectar qualquer configuração SSL / TLS ausente.
A digitalização através do SSLyze é rápida, porque o processo de verificação é distribuído entre vários processos. Se você é um desenvolvedor ou deseja integrar-se ao seu aplicativo existente, tem a oportunidade de gravar o resultado no formato XML ou JSON.
O SSLyze também está disponível no
Kali Linux .
4. OpenSSL
Não subestime o
OpenSSL - uma das ferramentas independentes mais poderosas disponíveis para Windows ou Linux para executar várias tarefas relacionadas ao SSL, como verificação, geração de CSR,
conversão de formato de certificado etc.
5. Verificação de SSL Labs
Ama Qualys SSL Labs? Você não está sozinho - eu também gosto.
Se você estiver procurando por uma ferramenta de linha de comando do SSL Labs para testes automatizados ou em massa, o
SSL Labs Scan certamente será útil.
6. Verificação SSL
A varredura SSL é compatível com Windows, Linux e Mac. A Verificação SSL ajuda a identificar rapidamente as seguintes métricas:
- Realce de criptografia SSLv2 / SSLv3 / CBC / 3DES / RC4;
- mensagem sobre criptografia fraca (<40 bits), zero ou desconhecida;
- verifique a compactação TLS, vulnerabilidade Heartbleed;
- e muito mais ...
Se você estiver trabalhando em problemas de criptografia, a Verificação SSL será uma ferramenta útil para acelerar a solução de problemas.
7. Teste de SSL
Como o nome indica, o
TestSSL é uma ferramenta de linha de comando compatível com Linux e outros sistemas operacionais. Ele verifica todos os indicadores mais importantes e mostra o que está em ordem e o que não está.
Por exemploTesting protocols via sockets except SPDY+HTTP2
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)
Testing ~standard cipher categories
NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)
Testing server preferences
Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256
Testing vulnerabilities
Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Como você pode ver, abrange um grande número de vulnerabilidades, preferências de criptografia, protocolos etc.
TestSSL.sh também está disponível na
imagem do
Docker .
8. Digitalização TLS
Você pode compilar o
TLS-Scan a partir do código-fonte ou fazer o download do código binário para Linux / OSX. Extrai informações do certificado do servidor e exibe as seguintes métricas no formato JSON:
- verificação de nome de host;
- Verificação de compactação TLS
- Verificação de criptografia e numeração de versão do TLS
- verifique as sessões de reutilização.
Ele suporta os protocolos TLS, SMTP, STARTTLS e MySQL. Você também pode integrar os resultados em
um analisador de logs , por exemplo, como Splunk, ELK.
9. Digitalização Cifrada
Uma ferramenta rápida para analisar quais tipos de criptografia são suportados em sites usando o protocolo HTTPS.
A Cipher Scan também oferece a capacidade de exibir resultados no formato JSON. Este é um shell que usa comandos de pacote OpenSSL.
10. Auditoria SSL
A Auditoria SSL é uma ferramenta de código aberto para verificação de certificado e suporte a protocolo, criptografia e padrões baseados no SSL Labs.
Espero que as ferramentas de código aberto mencionadas o ajudem a integrar a varredura contínua nos analisadores de logs existentes e a facilitar a solução de problemas.
Dê uma olhada no VPS.today , um site para encontrar servidores virtuais. 1500 tarifas de 130 hosts, uma interface conveniente e um grande número de critérios para encontrar o melhor servidor virtual.