10 NEMOKAMŲ SSL / TLS trikčių šalinimo įrankių, skirtų „Webmaster“

Jums dažnai reikia derinti su SSL / TLS susijusias problemas dirbdamas žiniatinklio inžinieriumi, žiniatinklio valdytoju ar sistemos administratoriumi.


Yra daugybė internetinės priemonės dėl SSL sertifikato, SSL / TLS pažeidžiamumų tikrinimas, bet kai reikia išbandyti intraneto URL, VIP, IP, tada jie nebus naudingi.

Norėdami išspręsti intraneto išteklius, jums reikia atskiros programinės įrangos / įrankių, kuriuos galite įdiegti į savo tinklą ir atlikti būtiną testą..

Gali būti įvairių scenarijų, tokių kaip:

  • Iškilo problemų įgyvendinant SSL sertifikatus su interneto serveriu
  • Norite užtikrinti naujausią / konkretų šifrą, naudojamas protokolas
  • Po diegimo norite patvirtinti konfigūraciją
  • Saugos rizika nustatyta skverbties bandymo rezultate

Šie įrankiai bus naudingi norint pašalinti tokias problemas.

„DeepViolet“

„DeepViolet“ yra „Java“ pagrindu sukurtas SSL / TLS nuskaitymo įrankis, prieinamas dvejetainiu būdu, arba galite sudaryti iš šaltinio kodo.

Jei ieškote alternatyvos „SSL Labs“ naudoti vidiniame tinkle, tuomet „DeepViolet“ būtų tinkamas pasirinkimas. Jis nuskaito šiuos dalykus.

  • Neapsaugota šifra
  • Silpnas pasirašymo algoritmas
  • Sertifikato atšaukimo būsena
  • Pažymos galiojimo laikas
  • Įsivaizduokite pasitikėjimo grandinę, savarankiškai pasirašytą šaknį

SSL diagnostika

Greitai įvertinkite savo svetainės SSL stiprumą. SSL diagnostika ištraukti SSL protokolą, šifruotojo rinkinius, širdį, Žvėrį.

Ne tik HTTPS, bet ir SSL stiprumą galite išbandyti naudodami SMTP, SIP, POP3 ir FTPS.

SSLyze

SSLyze yra „Python“ biblioteka ir komandų eilutės įrankis, jungiantis prie SSL baigties ir atliekantis nuskaitymą, kad būtų galima nustatyti bet kokią SSL / TLS praleistą konfigūraciją.

Nuskaitymas per SSLyze yra greitas, nes testas yra paskirstomas keliais procesais. Jei esate kūrėjas ar norite integruoti savo esamą programą, turite galimybę parašyti rezultatą XML arba JSON formatu.

„SSLyze“ taip pat galima rasti „Kali Linux“.

„OpenSSL“

Negalima nuvertinti OpenSSL – vieno iš galingų autonominių įrankių, prieinamų „Windows“ ar „Linux“, atliekant įvairias su SSL susijusias užduotis, tokias kaip patikra, CSR generavimas, sertifikavimo konvertavimas ir kt..

„SSL Labs“ nuskaitymas

Ar patinka „Qualys SSL Labs“? Tu nesi vienas; Aš taip pat myliu.

Jei ieškote SSL laboratorijų komandinės eilutės įrankio, skirto automatizuotam ar masiniam testavimui, tada „SSL Labs“ nuskaitymas būtų naudinga.

SSL nuskaitymas

SSL nuskaitymas yra suderinamas su „Windows“, „Linux“ ir MAC. SSL nuskaitymas greitai padeda nustatyti toliau nurodytą metriką.

  • Pažymėkite SSLv2 / SSLv3 / CBC / 3DES / RC4 / šifrus
  • Pranešti silpną (<40bit), null / anoniminiai šifrai
  • Patikrinkite TLS glaudinimą, širdies pažeidžiamumą
  • ir daug daugiau…

Jei dirbate su šifravimo problemomis, SSL nuskaitymas būtų naudinga priemonė paspartinti trikčių šalinimą.

„TestSSL“

Kaip rodo pavadinimas, „TestSSL“ yra komandų eilutės įrankis, suderinamas su Linux ar OS. Tai patikrina visus esminius rodiklius ir suteikia statusą, ar geras, ar blogas.

Pvz .:

Tikrinti protokolus per lizdus išskyrus SPDY + HTTP2

SSLv2 nėra siūlomas (gerai)
SSLv3 nesiūlomas (gerai)
Siūlomas 1 TLS
Siūlomas TLS 1.1
Siūlomas TLS 1.2 (gerai)
SPDY / NPN h2, „spdy“ / 3.1, http / 1.1 (reklamuojama)
HTTP2 / ALPN h2, „spdy“ / 3.1, http / 1.1 (siūloma)

Testas ~ standartinių šifrų kategorijų

NULL šifrai (be šifravimo) nesiūlomi (gerai)
Siūlomos anoniminės NULL šifruotės (be autentifikacijos) (Gerai)
Siūlomi šifrai (be ADH + NULL) nėra siūlomi (gerai)
MAŽAI: 64 bitų + DES šifravimas (be eksporto) nesiūlomas (gerai)
Silpni 128 bitų šifrai (SEED, IDEA, RC [2,4]) nesiūlomi (gerai)
Trivietės DES šifrai (vidutiniai) nesiūlomi (gerai)
Siūlomas didelis šifravimas (AES + Camellia, nėra AEAD) (Gerai)
Siūlomas stiprus šifravimas (AEAD šifrai) (Gerai)

Testavimas serverio nuostatose

Ar yra serverio šifravimo tvarka? taip gerai)
Derybų protokolas TLSv1.2
Derybinis šifras ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bitų ECDH (P-256)
Šifravimo tvarka
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: „ECDHE-RSA-AES128-SHA AES128-SHA“ „ECDHE-RSA-AES256-SHA AES256-SHA“
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-SENAS ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-SENAS
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
„ECDHE-RSA-AES128-SHA256“ AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Pažeidžiamumų tikrinimas

Širdies plakimas (CVE-2014-0160) nėra pažeidžiamas (gerai), širdies ritmo pratęsimo nėra
CCS (CVE-2014-0224) nėra pažeidžiamas (gerai)
Galima įsigyti bilietą (CVE-2016-9244), eksperimentas. nėra pažeidžiamas (gerai)
Saugus pakartotinis derybos (CVE-2009-3555) nėra pažeidžiamas (gerai)
Saugios kliento inicijuotos pakartotinės derybos nėra pažeidžiamos (gerai)
NUSIKALTIMAS, TLS (CVE-2012-4929) nėra pažeidžiamas (gerai)
BREACH (CVE-2013-3587) potencialiai NĖRA gerai, naudoja gzip HTTP glaudinimą. – tiekiama tik "/" išbandytas
Gali būti nekreipiama dėmesio į statinius puslapius arba, jei puslapyje nėra jokių paslapčių
„POODLE“, SSL (CVE-2014-3566) nėra pažeidžiamas (gerai)
TLS_FALLBACK_SCSV (RFC 7507) Palaikoma žemesnės versijos atakų prevencija (gerai)
„SWEET32“ (CVE-2016-2183, CVE-2016-6329) nėra pažeidžiamas (gerai)
„FREAK“ (CVE-2015-0204) nėra pažeidžiamas (gerai)
DROWN (CVE-2016-0800, CVE-2016-0703) nėra pažeidžiamas šiame pagrindiniame kompiuteryje ir prievadoje (Gerai)
įsitikinkite, kad nenaudojate šio pažymėjimo kitur, kur įjungtos SSLv2 paslaugos
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 galėtų padėti jums tai išsiaiškinti
LOGJAM (CVE-2015-4000), eksperimentinis nėra pažeidžiamas (gerai): nėra DH EXPORT šifrų, neaptikta DH rakto
Žvėris (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
PAŽEIDŽIAMA – bet taip pat palaiko aukštesnius protokolus (galimas jų sušvelninimas): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, naudoja šifravimo blokų grandinės (CBC) šifrus
RC4 (CVE-2013-2566, CVE-2015-2808) neaptikta jokių RC4 šifrų (gerai)

Kaip matote, jis apima daugybę pažeidžiamumų, šifravimo nuostatas, protokolus ir tt. „TestSSL.sh“ taip pat yra dokininko atvaizdas.

Jei jums reikia atlikti nuotolinį nuskaitymą naudojant testssl.sh, tuomet galite pabandyti „Geekflare TLS“ skaitytuvas.

TLS nuskaitymas

Galite arba pastatyti TLS-Scan iš šaltinio arba atsisiųskite dvejetainį „Linux“ / OSX. Iš serverio ji išgauna pažymėjimo informaciją ir išspausdina šią metriką JSON formatu.

  • Pagrindinio kompiuterio vardo tikrinimas
  • TLS glaudinimo tikrinimai
  • Šifravimo ir TLS versijų sąrašų tikrinimas
  • Sesijos pakartotinio naudojimo patikrinimai

Tai palaiko TLS, SMTP, STARTTLS ir MySQL protokolus. Gautą išvestį taip pat galite integruoti į žurnalų analizatorių, pvz., „Splunk“, ELK.

„Cipher Scan“

Greitas įrankis, skirtas analizuoti, kas HTTPS svetainėje palaiko visus šifrus. „Cipher Scan“ taip pat turi galimybę parodyti išvestį JSON formatu. Tai įvyniojimas ir viduje naudojant „OpenSSL“ komandą.

SSL auditas

SSL auditas yra atvirojo kodo įrankis, skirtas patikrinti sertifikatą ir palaikyti protokolą, šifrus ir laipsnį remiantis SSL laboratorijomis.

Tikiuosi, kad aukščiau išvardyti atvirojo kodo įrankiai padės integruoti nuolatinį nuskaitymą į esamą žurnalo analizatorių ir palengvins trikčių diagnostiką.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map