Geekflare wird von unserem Publikum unterstützt. Es kann sein, dass wir durch den Kauf von Links auf dieser Seite Affiliate-Provisionen verdienen.
Unter Sicherheit Zuletzt aktualisiert: September 23, 2023
Weitergeben:
Invicti Web Application Security Scanner - die einzige Lösung, die eine automatische Überprüfung von Schwachstellen mit Proof-Based Scanning™ ermöglicht.

Bei Ihrer Arbeit als Webentwickler, Webmaster oder Systemadministrator müssen Sie oft SSL/TLS-bezogene Probleme beheben.

Es gibt viele Online-Tools für SSL-Zertifikate und zum Testen von SSL/TLS-SchwachstellenAber wenn es um das Testen von Intranet-URLs, VIPs und IPs geht, sind sie nicht hilfreich.

Für die Fehlersuche bei Intranet-Ressourcen benötigen Sie eine eigenständige Software/Tools, die Sie in Ihrem Netzwerk installieren und die notwendigen Tests durchführen können.

Es kann verschiedene Szenarien geben, wie z.B.:

  • Probleme bei der Implementierung eines SSL-Zertifikats mit einem Webserver
  • Sie möchten sicherstellen, dass die neueste/besondere Verschlüsselung, das neueste Protokoll verwendet wird.
  • Nach der Implementierung möchten Sie die Konfiguration überprüfen
  • Sicherheitsrisiko, das bei einem Penetrationstest festgestellt wurde

Die folgenden Tools sind nützlich, um solche Probleme zu beheben.

DeepViolet

DeepViolet ist ein javabasiertes SSL/TLS-Scan-Tool, das als Binärdatei verfügbar ist oder mit dem Quellcode kompiliert werden kann.

Wenn Sie nach einer Alternative zu SSL Labs für ein internes Netzwerk suchen, dann ist DeepViolet eine gute Wahl. Es scannt auf folgende Punkte.

  • Schwache Chiffre offengelegt
  • Schwacher Signieralgorithmus
  • Status des Zertifikatswiderrufs
  • Status desZertifikatsabläufe
  • Visualisierung der Vertrauenskette, einer selbstsignierten Wurzel

SSL-Diagnosen

Bewerten Sie schnell die SSL-Stärke Ihrer Website. SSL-Diagnosen extrahiert SSL-Protokoll, Cipher Suites, Heartbleed, BEAST.

Sie können nicht nur HTTPS, sondern auch die SSL-Stärke für SMTP, SIP, POP3 und FTPS testen.

SSLyze

SSLyze ist eine Python-Bibliothek und ein Befehlszeilen-Tool, das eine Verbindung zu einem SSL-Endpunkt herstellt und einen Scan durchführt, um eine fehlende SSL/TLS-Konfiguration zu ermitteln.

Der Scan durch SSLyze ist schnell, da ein Test über mehrere Prozesse verteilt wird. Wenn Sie Entwickler sind oder eine Integration in Ihre bestehende Anwendung wünschen, haben Sie die Möglichkeit, das Ergebnis im XML- oder JSON-Format zu schreiben.

SSLyze ist auch in Kali Linux verfügbar. Wenn Sie Kali noch nicht kennen, lesen Sie hier , wie Sie Kali Linux auf VMWare Fusion installieren.

OpenSSL

Unterschätzen Sie nicht OpenSSL, eines der leistungsfähigen Standalone-Tools, die für Windows oder Linux verfügbar sind, um verschiedene SSL-bezogene Aufgaben wie Überprüfung, CSR-Generierung, Zertifizierungskonvertierung usw. durchgeführt.

SSL Labs-Scan

Sie lieben Qualys SSL Labs? Sie sind nicht allein; ich liebe es auch.

Wenn Sie auf der Suche nach einem Befehlszeilen-Tool für SSL Labs für automatisierte oder Massenprüfungen sind, dann ist SSL-Laborscan genau das Richtige für Sie.

SSL-Scan

SSL-Scan ist mit Windows, Linux und MAC kompatibel. SSL Scan hilft Ihnen, die folgenden Metriken schnell zu identifizieren.

  • Hervorhebung von SSLv2/SSLv3/CBC/3DES/RC4/-Chiffren
  • Melden Sie schwache (<40bit), ungültige/anonyme Verschlüsselungen
  • Überprüfen Sie TLS-Komprimierung, Heartbleed-Schwachstelle
  • und vieles mehr...

Wenn Sie an verschlüsselungsbezogenen Problemen arbeiten, ist ein SSL-Scan ein hilfreiches Tool, um die Fehlersuche zu beschleunigen.

Geekflare TLS-Scanner-API

Eine weitere raffinierte Lösung für Webmaster kann die Geekflare TLS Scanner API sein.

geekflare tls scanner api

Dies ist eine robuste Methode, um das TLS-Protokoll, CN, SAN und andere Zertifikatsdetails in Sekundenbruchteilen zu überprüfen. Und Sie können dies risikofrei mit einem kostenlosen Abonnement für bis zu 3000 Anfragen pro Monat ausprobieren.

Die Basis-Premiumstufe bietet jedoch eine höhere Abfragerate und 10K API-Aufrufe für nur $5 pro Monat.

TestSSL

Wie der Name schon sagt, ist TestSSL ein Kommandozeilen-Tool, das mit Linux oder OS kompatibel ist. Es testet alle wichtigen Metriken und gibt den Status an, ob gut oder schlecht.

Bsp:

Testen von Protokollen über Steckdosen außer SPDY HTTP2

SSLv2 wird nicht angeboten (OK)
SSLv3 wird nicht angeboten (OK)
TLS 1 angeboten
TLS 1.1 angeboten
TLS 1.2 angeboten (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (beworben)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (angeboten)

Testen von ~Standard-Chiffre-Kategorien

NULL-Chiffren (keine Verschlüsselung) nicht angeboten (OK)
Anonyme NULL-Chiffren (keine Authentifizierung) werden nicht angeboten (OK)
Export-Chiffren (ohne ADH NULL) werden nicht angeboten (OK)
LOW: 64 Bit DES Verschlüsselung (ohne Export) wird nicht angeboten (OK)
Schwache 128 Bit Chiffren (SEED, IDEA, RC[2,4]) werden nicht angeboten (OK)
Triple DES Chiffren (Medium) werden nicht angeboten (OK)
Hohe Verschlüsselung (AES Camellia, kein AEAD) wird angeboten (OK)
Starke Verschlüsselung (AEAD-Chiffren) wird angeboten (OK)

Testen der Servereinstellungen

Hat der Server eine Chiffrierreihenfolge? ja (OK)
Ausverhandeltes Protokoll TLSv1.2
Ausgehandelte Verschlüsselung ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 Bit ECDH (P-256)
Reihenfolge der Verschlüsselung
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testen von Sicherheitslücken

Heartbleed (CVE-2014-0160) nicht verwundbar (OK), keine Heartbeat-Erweiterung
CCS (CVE-2014-0224) nicht verwundbar (OK)
Ticketbleed (CVE-2016-9244), Experiment. nicht verwundbar (OK)
Sichere Neuverhandlung (CVE-2009-3555) nicht verwundbar (OK)
Sichere Client-initiierte Neuverhandlung nicht verwundbar (OK)
CRIME, TLS (CVE-2012-4929) nicht verwundbar (OK)
BREACH (CVE-2013-3587) möglicherweise NICHT anfällig, verwendet gzip HTTP-Komprimierung. - nur geliefertes "/" getestet
Kann bei statischen Seiten ignoriert werden oder wenn die Seite keine Geheimnisse enthält
POODLE, SSL (CVE-2014-3566) nicht verwundbar (OK)
TLS_FALLBACK_SCSV (RFC 7507) Verhinderung von Downgrade-Angriffen unterstützt (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) nicht angreifbar (OK)
FREAK (CVE-2015-0204) nicht angreifbar (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) auf diesem Host und Port nicht angreifbar (OK)
stellen Sie sicher, dass Sie dieses Zertifikat nicht an anderer Stelle mit SSLv2 aktivierten Diensten verwenden
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 kann Ihnen helfen, dies herauszufinden
LOGJAM (CVE-2015-4000), experimentell nicht verwundbar (OK): keine DH EXPORT Chiffren, kein DH Schlüssel erkannt
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE -- unterstützt aber auch höhere Protokolle (mögliche Abschwächung): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, verwendet Cipher Block Chaining (CBC) Chiffren
RC4 (CVE-2013-2566, CVE-2015-2808) keine RC4-Chiffren entdeckt (OK)

Wie Sie sehen, deckt es eine große Anzahl von Sicherheitslücken, Verschlüsselungseinstellungen, Protokollen usw. ab. TestSSL.sh ist auch in einem Docker-Bilder verfügbar.

Wenn Sie einen Remote-Scan mit testssl.sh durchführen möchten, können Sie Geekflare TLS-Scanner ausprobieren.

TLS-Scan

Sie können TLS-Scan entweder aus dem Quellcode erstellen oder eine Binärdatei für Linux/OSX herunterladen. Es extrahiert Zertifikatsinformationen vom Server und gibt die folgenden Metriken im JSON-Format aus.

  • Überprüfungen des Hostnamens
  • Überprüfungen der TLS-Komprimierung
  • Aufzählung von Verschlüsselungen und TLS-Versionen
  • Überprüfung der Wiederverwendung von Sitzungen

Es unterstützt TLS, SMTP, STARTTLS und MySQL-Protokolle. Sie können die resultierende Ausgabe auch in einem Logs-Analyzer wie Splunk oder ELK integrieren.

Chiffre-Scan

Ein schnelles Tool, um zu analysieren, ob die HTTPS-Website alle Chiffren unterstützt. Chiffre-Scan verfügt auch über eine Option zur Anzeige der Ausgabe im JSON-Format. Es ist ein Wrapper und verwendet intern den OpenSSL-Befehl.

SSL-Audit

SSL-Audit ist ein Open-Source-Tool zur Überprüfung des Zertifikats und der Unterstützung des Protokolls, der Chiffren und des Grades auf der Grundlage von SSL Labs.

Ich hoffe, die oben genannten Open-Source-Tools helfen Ihnen bei der Integration des kontinuierlichen Scannens in Ihren vorhandenen Log-Analyzer und erleichtern die Fehlersuche.

  • Chandan Kumar
    Autor
    Chandan Kumar ist der Gründer von Geekflare. Er hat Millionen von Menschen geholfen, sich im digitalen Bereich zu verbessern. Er hat eine Leidenschaft für Technologie und ist auf einer Mission, die Welt zu erforschen und das Wachstum von Fachleuten und Unternehmen zu steigern.
Dank an unsere Sponsoren
Weitere gute Lektüre zum Thema Sicherheit
Energie für Ihr Unternehmen
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti nutzt das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu überprüfen und innerhalb weniger Stunden verwertbare Ergebnisse zu erzielen.
    Versuchen Sie Invicti
  • Web Scraping, Residential Proxy, Proxy Manager, Web Unlocker, Search Engine Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie Brightdata
  • Monday.com ist ein All-in-One-Betriebssystem, mit dem Sie Projekte, Aufgaben, Arbeit, Vertrieb, CRM, Arbeitsabläufe und vieles mehr verwalten können.
    Versuch Montag
  • Intruder ist ein Online-Schwachstellen-Scanner, der Schwachstellen in Ihrer Infrastruktur aufspürt, um kostspielige Datenschutzverletzungen zu vermeiden.
    Versuchen Sie Intruder