10 Alat Pemecahan Masalah SSL / TLS GRATIS untuk Webmaster

Anda sering perlu melakukannya debug masalah terkait SSL / TLS saat bekerja sebagai insinyur web, webmaster, atau administrator sistem.


Ada banyak alat online untuk sertifikat SSL, Menguji kerentanan SSL / TLS, tetapi ketika menyangkut pengujian URL berbasis intranet, VIP, IP, maka mereka tidak akan membantu.

Untuk memecahkan masalah sumber daya intranet, Anda memerlukan perangkat lunak / alat mandiri yang dapat Anda instal di jaringan Anda dan melakukan tes yang diperlukan.

Mungkin ada berbagai skenario, seperti:

  • Memiliki masalah selama implementasi sertifikat SSL dengan server web
  • Ingin memastikan sandi terbaru / khusus, protokol sedang digunakan
  • Pasca implementasi, ingin memverifikasi konfigurasi
  • Risiko keamanan ditemukan dalam hasil tes penetrasi

Alat-alat berikut akan berguna untuk memecahkan masalah seperti itu.

DeepViolet

DeepViolet adalah alat pemindaian SSL / TLS berbasis java yang tersedia dalam biner, atau Anda dapat mengompilasi dengan kode sumber.

Jika Anda mencari alternatif Lab SSL untuk digunakan pada jaringan internal, maka DeepViolet akan menjadi pilihan yang baik. Ini memindai untuk yang berikut.

  • Lemah cipher terkena
  • Algoritma penandatanganan yang lemah
  • Status pencabutan sertifikasi
  • Status kedaluwarsa sertifikat
  • Visualisasikan rantai kepercayaan, akar yang ditandatangani sendiri

Diagnosis SSL

Evaluasi kekuatan SSL situs web Anda dengan cepat. Diagnosis SSL ekstrak protokol SSL, cipher suites, heartbleed, BEAST.

Bukan hanya HTTPS, tetapi Anda dapat menguji kekuatan SSL untuk SMTP, SIP, POP3, dan FTPS.

SSLyze

SSLyze adalah pustaka Python dan alat baris perintah yang menghubungkan ke titik akhir SSL dan melakukan pemindaian untuk mengidentifikasi kesalahan konfigurasi SSL / TLS.

Memindai melalui SSL cepat karena tes didistribusikan melalui beberapa proses. Jika Anda seorang pengembang atau Anda ingin berintegrasi dengan aplikasi yang ada, maka Anda memiliki opsi untuk menulis hasilnya dalam format XML atau JSON.

SSLyze juga tersedia di Kali Linux.

OpenSSL

Jangan meremehkan OpenSSL, salah satu alat mandiri yang kuat yang tersedia untuk Windows atau Linux untuk melakukan berbagai tugas terkait SSL seperti verifikasi, pembangkitan CSR, konversi sertifikasi, dll..

Pemindaian Labs SSL

Suka Qualys SSL Labs? Anda tidak sendiri; saya juga menyukai hal tersebut.

Jika Anda mencari alat baris perintah untuk Lab SSL untuk pengujian massal atau otomatis, maka Pemindaian Labs SSL akan bermanfaat.

Pemindaian SSL

Pemindaian SSL kompatibel dengan Windows, Linux, dan MAC. Pemindaian SSL dengan cepat membantu mengidentifikasi metrik berikut.

  • Sorot SSLv2 / SSLv3 / CBC / 3DES / RC4 / cipher
  • Laporkan lemah (<40bit), null / sandi anonim
  • Verifikasi kompresi TLS, kerentanan patah hati
  • dan banyak lagi…

Jika Anda sedang mengerjakan masalah terkait sandi, maka pemindaian SSL akan menjadi alat yang bermanfaat untuk mempercepat pemecahan masalah.

TestSSL

Seperti namanya, TestSSL adalah alat baris perintah yang kompatibel dengan Linux atau OS. Ini menguji semua metrik penting dan memberikan status, baik atau buruk.

Ex:

Protokol pengujian melalui soket kecuali SPDY + HTTP2

SSLv2 tidak ditawarkan (OK)
SSLv3 tidak ditawarkan (OK)
TLS 1 ditawarkan
TLS 1.1 ditawarkan
TLS 1.2 ditawarkan (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (diiklankan)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (ditawarkan)

Pengujian ~ kategori sandi standar

NULL cipher (tidak ada enkripsi) tidak ditawarkan (OK)
Cipher NULL Anonim (tidak ada otentikasi) tidak ditawarkan (OK)
Ekspor sandi (tanpa ADH + NULL) tidak ditawarkan (OK)
RENDAH: 64 Bit + DES enkripsi (tanpa ekspor) tidak ditawarkan (OK)
Cipher 128 Bit yang lemah (SEED, IDEA, RC [2,4]) tidak ditawarkan (OK)
Triple DES Ciphers (Medium) tidak ditawarkan (OK)
Enkripsi tinggi (AES + Camellia, tanpa AEAD) ditawarkan (OK)
Enkripsi yang kuat (cipher AEAD) ditawarkan (OK)

Menguji preferensi server

Apakah server cipher memesan? ya ok)
Protokol yang dinegosiasikan TLSv1.2
Sandi negosiasi ECDHE-ECDSA-CHACHA20-POLY1305-OLD, ECDH 256 bit (P-256)
Urutan sandi
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Menguji kerentanan

Heartbleed (CVE-2014-0160) tidak rentan (OK), tidak ada ekstensi detak jantung
CCS (CVE-2014-0224) tidak rentan (OK)
Ticketbleed (CVE-2016-9244), percobaan. tidak rentan (OK)
Renegosiasi Aman (CVE-2009-3555) tidak rentan (OK)
Amankan Renegosiasi yang Dimulai oleh Klien tidak rentan (OK)
CRIME, TLS (CVE-2012-4929) tidak rentan (OK)
BREACH (CVE-2013-3587) berpotensi TIDAK ok, menggunakan kompresi HTTP gzip. – hanya disediakan "/" diuji
Dapat diabaikan untuk halaman statis atau jika tidak ada rahasia di halaman
POODLE, SSL (CVE-2014-3566) tidak rentan (OK)
TLS_FALLBACK_SCSV (RFC 7507) Mendukung pencegahan serangan downgrade (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) tidak rentan (OK)
FREAK (CVE-2015-0204) tidak rentan (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) tidak rentan terhadap host dan port ini (OK)
pastikan Anda tidak menggunakan sertifikat ini di tempat lain dengan layanan berkemampuan SSLv2
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 dapat membantu Anda mencari tahu
LOGJAM (CVE-2015-4000), eksperimental tidak rentan (OK): tidak ada sandi DH EKSPOR, tidak ada kunci DH yang terdeteksi
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE – tetapi juga mendukung protokol yang lebih tinggi (kemungkinan mitigasi): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, menggunakan cipher block chaining (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) tidak ada sandi RC4 yang terdeteksi (Oke)

Seperti yang Anda lihat, ini mencakup sejumlah besar kerentanan, preferensi sandi, protokol, dll. TestSSL.sh juga tersedia dalam gambar buruh pelabuhan.

Jika Anda perlu melakukan pemindaian jarak jauh menggunakan tessl.sh maka Anda dapat mencoba Geekflare TLS Scanner.

Pemindaian TLS

Anda dapat membangun TLS-Scan dari sumber atau unduh biner untuk Linux / OSX. Itu mengekstrak informasi sertifikat dari server dan mencetak metrik berikut dalam format JSON.

  • Verifikasi nama host
  • Cek kompresi TLS
  • Pemeriksaan enumerasi versi sandi dan TLS
  • Sesi menggunakan kembali cek

Ini mendukung protokol TLS, SMTP, STARTTLS, dan MySQL. Anda juga dapat mengintegrasikan output yang dihasilkan dalam penganalisis log seperti Splunk, ELK.

Pemindaian sandi

Alat cepat untuk menganalisis apa yang didukung situs web HTTPS semua sandi. Pemindaian sandi juga memiliki opsi untuk menampilkan keluaran dalam format JSON. Ini pembungkus dan secara internal menggunakan perintah OpenSSL.

Audit SSL

Audit SSL adalah alat sumber terbuka untuk memverifikasi sertifikat dan mendukung protokol, sandi, dan nilai berdasarkan Lab SSL.

Saya harap alat open-source di atas membantu Anda untuk mengintegrasikan pemindaian berkelanjutan dengan penganalisa log yang ada dan memudahkan pemecahan masalah.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map