10 BREZPLAČNI SSL / TLS Orodja za odpravljanje težav za spletne skrbnike

Pogosto morate odpravljanje težav, povezanih s SSL / TLS med delom kot spletni inženir, spletni skrbnik ali sistemski administrator.


Veliko jih je spletna orodja za SSL certifikat, Testiranje ranljivosti SSL / TLS, vendar ko gre za testiranje intranetnega URL-ja, VIP-ja, IP, ne bodo v pomoč.

Če želite odpraviti intranetne vire, potrebujete samostojno programsko opremo / orodja, ki jih lahko namestite v svoje omrežje in opravite potreben test.

Obstajajo različni scenariji, kot so:

  • Težave med izvajanjem SSL certifikatov s spletnim strežnikom
  • Želite zagotoviti najnovejšo / posebno šifro, se uporablja protokol
  • Po izvedbi, želite preveriti konfiguracijo
  • Varnostno tveganje, ugotovljeno v rezultatu penetracijskega testa

Naslednja orodja bodo priročna za odpravljanje takšnih težav.

DeepViolet

DeepViolet je orodje za skeniranje SSL / TLS, ki temelji na javi, na voljo v binarni obliki ali pa ga lahko sestavite z izvorno kodo.

Če iščete alternativo SSL Labs, ki bi jo uporabljali v notranjem omrežju, bi bil DeepViolet dober izbor. Pregleda naslednje.

  • Šibka šifra izpostavljena
  • Algoritem šibkega podpisovanja
  • Status preklica certifikata
  • Status poteka certifikata
  • Vizualizirajte verigo zaupanja, samopodpisano korenino

SSL Diagnos

Hitro ocenite moč SSL svojega spletnega mesta. SSL Diagnos izvleček SSL protokol, šifrantne garniture, srčno, BEAST.

Ne samo HTTPS, ampak lahko preizkusite moč SSL za SMTP, SIP, POP3 in FTPS.

SSLyze

SSLyze je Python knjižnica in orodje ukazne vrstice, ki se poveže s končno točko SSL in izvede skeniranje, da prepozna katero koli napačno konfiguracijo SSL / TLS.

Skeniranje prek SSLyze je hitro, saj se test porazdeli po več postopkih. Če ste razvijalec ali bi se radi integrirali s svojo obstoječo aplikacijo, potem lahko rezultat napišete v obliki XML ali JSON.

SSLyze je na voljo tudi v Kali Linux.

OpenSSL

Ne podcenjujte OpenSSL, enega od zmogljivih samostojnih orodij, ki so na voljo za Windows ali Linux za izvajanje različnih nalog, povezanih s SSL, kot so preverjanje, ustvarjanje CSR, pretvorba certifikatov itd..

Pregledovanje laboratorij SSL

Love Qualys laboratoriji SSL? Niste sami; Tudi jaz ga imam rad.

Če iščete orodje ukazne vrstice za laboratorije SSL za samodejno ali skupno testiranje, potem Pregledovanje laboratorij SSL bi bilo koristno.

Skeniranje SSL

Skeniranje SSL je združljiv z Windows, Linux in MAC. Skeniranje SSL hitro pomaga prepoznati naslednje meritve.

  • Označite šifre SSLv2 / SSLv3 / CBC / 3DES / RC4 /
  • Poročilo šibko (<40bit), ničelne / anonimne šifre
  • Preverite TLS stiskanje, občutljivost srca
  • in veliko več…

Če se ukvarjate s težavami, povezanimi s šifri, bi bilo iskanje SSL koristno orodje za hitro iskanje težav.

TestSSL

Kot že ime pove, TestSSL je orodje ukazne vrstice, združljivo z Linuxom ali OS. Testira vse bistvene meritve in daje status, dobro ali slabo.

Primer:

Testiranje protokolov prek vtičnic razen SPDY + HTTP2

SSLv2 ni na voljo (v redu)
SSLv3 ni na voljo (v redu)
TLS 1 je na voljo
Na voljo je TLS 1.1
Na voljo TLS 1.2 (v redu)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (oglašuje)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (na voljo)

Testiranje ~ standardne kategorije šifrov

NULL šifre (ni šifriranja) niso na voljo (v redu)
Anonimne šifre NULL (avtentikacije) niso na voljo (v redu)
Izvozne šifre (brez ADH + NULL) niso na voljo (v redu)
NIZKA: 64 bit + DES šifriranje (brez izvoza) ni na voljo (v redu)
Slabih 128 bitnih šifrantov (SEED, IDEA, RC [2,4]) ni na voljo (v redu)
Trojne DES šifre (srednje) niso na voljo (v redu)
Visoka enkripcija (AES + Camellia, brez AEAD) (na voljo)
Ponudba močne šifriranja (AEAD šifre) (v redu)

Testiranje nastavitev strežnika

Ali je šifra strežnika naročila? ja v redu)
Pogajalski protokol TLSv1.2
Pogajalski šifrant ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256-bitni ECDH (P-256)
Vrstni red šifre
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-STARI ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testiranje ranljivosti

Srčno krvavitev (CVE-2014-0160) ni ranljiva (v redu), brez podaljšanja srčnega utripa
CCS (CVE-2014-0224) ni ranljiv (OK)
Izplačilo vstopnic (CVE-2016-9244), poskus. ni ranljiv (v redu)
Varno ponovno pogajanje (CVE-2009-3555) ni ranljivo (v redu)
Varna ponovna pogajanja s strankami niso ranljiva (v redu)
ZLOČIN, TLS (CVE-2012-4929) ni ranljiv (OK)
BREACH (CVE-2013-3587) potencialno NI ok, uporablja gzip HTTP stiskanje. – samo v kompletu "/" preizkušen
Za statične strani je mogoče prezreti ali če na strani ni skrivnosti
POODLE, SSL (CVE-2014-3566) ni ranljiv (OK)
TLS_FALLBACK_SCSV (RFC 7507) Podprto preprečevanje napada nadgradnjo (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) ni ranljiv (OK)
FREAK (CVE-2015-0204) ni ranljiv (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) ni ranljiv na tem gostitelju in pristanišču (v redu)
se prepričajte, da tega potrdila ne uporabljate drugje s storitvami, ki podpirajo SSLv2
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 bi vam lahko pomagal ugotoviti
LOGJAM (CVE-2015-4000), eksperimentalno ni ranljiv (OK): šifre DH EXPORT ni, ni zaznan ključ DH
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VUNNERABLE – vendar podpira tudi višje protokole (možna omilitev): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) RAZPOLOŽLJIV, uporablja šifrirne verižne blokade (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) šifri RC4 niso zaznane (OK)

Kot lahko vidite, zajema veliko število ranljivosti, nastavitve šifre, protokole itd. TestSSL.sh je na voljo tudi v docker slika.

Če morate opraviti daljinsko skeniranje s testssl.sh, lahko poskusite Geekflare TLS skener.

TLS Scan

Lahko pa zgradite TLS-Scan iz vira ali naložite binarno datoteko za Linux / OSX. Iz strežnika pridobi informacije o potrdilih in natisne naslednje meritve v obliki JSON.

  • Pregledi preverjanja imena gostitelja
  • TLS preverjanja stiskanja
  • Cipher in TLS preverjanje oštevilčenja
  • Pregledi ponovne uporabe seje

Podpira protokole TLS, SMTP, STARTTLS in MySQL. Dobljeni izhod lahko vključite tudi v analizator dnevnikov, kot je Splunk, ELK.

Šifriranje

Hitro orodje za analizo tega, kar spletno mesto HTTPS podpira vse šifre. Šifriranje ima tudi možnost prikaza rezultata v obliki JSON. Je ovitek in notranje z uporabo ukaza OpenSSL.

Revizija SSL

Revizija SSL je odprtokodno orodje za preverjanje certifikata in podporo protokola, šifre in ocene na podlagi SSL Labs.

Upam, da vam zgornja odprtokodna orodja pomagajo pri integraciji neprekinjenega skeniranja z vašim obstoječim analizatorjem dnevnikov in olajšajo odpravljanje težav.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map