如果您是网络工程师,网站管理员或系统管理员,通常会被迫解决SSL / TLS问题。
有许多在线工具可用于处理
SSL证书 ,测试SSL / TLS协议中的弱点,但是当涉及基于URL,VIP,IP来测试内部网络时,它们不太可能有用。
要诊断内部网络的资源,您需要单独的软件/工具,您可以在网络上安装它们并进行必要的验证。
各种方案都是可能的,例如:
- 在Web服务器上安装SSL证书时出现问题;
- 需要使用最新/特定的密码,协议;
- 我要在调试后检查配置;
- 在漏洞测试期间检测到安全风险。
以下工具将有助于解决此类问题。
用于对SSL / TLS进行故障排除的开源工具:
- 深紫
- SSL诊断
- SSLyze
- Openssl
- SSL实验室扫描
- SSL扫描
- 测试SSL
- TLS扫描
- 密码扫描
- SSL审核
1. DeepViolet
DeepViolet是用Java编写的SSL / TLS分析工具,提供二进制代码,您也可以从源代码进行编译。
如果您正在内部网络上寻找SSL实验室的替代方案,那么DeepViolet将是一个不错的选择。 它扫描以下内容:
- 使用弱加密;
- 弱签名算法;
- 证书吊销状态;
- 证书有效期 ;
- 可视化的信任链,即自签名的根证书。
2. SSL诊断
快速评估您网站上SSL的可靠性。
SSL Diagnos分析SSL协议,加密算法,
Heartbleed和BEAST漏洞。
您不仅可以将HTTPS用于HTTPS,还可以检查SMTP,SIP,POP3和FTPS的SSL的稳定性。
3. SSLyze
SSLyze是一个Python库和命令行工具,可连接到SSL端点并进行扫描以检测任何缺少的SSL / TLS配置。
通过SSLyze进行扫描非常快,因为验证过程分布在多个过程中。 如果您是开发人员或想要集成到现有应用程序中,则可以使用XML或JSON格式编写结果。
SSLyze也可在
Kali Linux上使用 。
4. OpenSSL
不要低估
OpenSSL -Windows或Linux可以使用的最强大的独立工具之一,它可以执行与SSL相关的各种任务,例如验证,CSR生成,
证书格式转换等。
5. SSL实验室扫描
喜欢Qualys SSL实验室? 您并不孤单-我也很喜欢。
如果您正在寻找用于SSL Labs的命令行工具以进行自动化或批量测试,那么
SSL Labs Scan肯定会有用。
6. SSL扫描
SSL扫描与Windows,Linux和Mac兼容。 SSL扫描可帮助您快速确定以下指标:
- SSLv2 / SSLv3 / CBC / 3DES / RC4加密突出显示;
- 有关弱(<40位),零或未知加密的消息;
- 检查TLS压缩,Heartbleed漏洞;
- 还有更多...
如果您正在处理加密问题,SSL扫描将是加快故障排除速度的有用工具。
7.测试SSL
顾名思义,
TestSSL是与Linux和其他OS兼容的命令行工具。 他检查所有最重要的指标,并显示什么是有序的,什么不是。
举个例子Testing protocols via sockets except SPDY+HTTP2
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)
Testing ~standard cipher categories
NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)
Testing server preferences
Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256
Testing vulnerabilities
Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
如您所见,它涵盖了大量漏洞,加密首选项,协议等。
在
Docker映像中也可以使用TestSSL.sh。
8. TLS扫描
您可以从源代码编译
TLS-Scan或下载Linux / OSX的二进制代码。 它从服务器的证书中提取信息,并以JSON格式显示以下指标:
- 主机名验证;
- TLS压缩检查
- 检查加密和TLS的版本号;
- 检查重用会话。
它支持TLS,SMTP,STARTTLS和MySQL协议。 您还可以将结果集成到
日志分析器中 ,例如Splunk,ELK。
9.密码扫描
使用HTTPS协议分析网站上支持哪种加密类型的快速工具。
密码扫描还提供了以JSON格式显示结果的功能。 这是一个使用OpenSSL软件包命令的外壳。
10. SSL审核
SSL Audit是基于SSL Labs的用于证书验证和协议支持,加密和标准的开源工具。
我希望上述开放源代码工具可以帮助您将连续扫描集成到现有的日志分析器中,并使故障排除更加容易。
看看VPS.today ,这是一个查找虚拟服务器的站点。 来自130个托管商的1500关税,便捷的界面和大量用于寻找最佳虚拟服务器的条件。