Das musst du oft Debuggen von SSL / TLS-bezogenen Problemen während Sie als Webingenieur, Webmaster oder Systemadministrator arbeiten.

Es gibt genügend von Online-Tools aufgrund SSL-Zertifikat, Testen von SSL / TLS-SchwachstellenWenn es jedoch darum geht, intranetbasierte URLs, VIPs und IPs zu testen, sind sie nicht hilfreich.

Zur Fehlerbehebung bei Intranet-Ressourcen benötigen Sie eine eigenständige Software / Tools, die Sie in Ihrem Netzwerk installieren und einen erforderlichen Test durchführen können.

Es kann verschiedene Szenarien geben, wie zum Beispiel:

  • Probleme bei der Implementierung des SSL-Zertifikats mit dem Webserver
  • Wenn Sie sicherstellen möchten, dass die neueste / bestimmte Verschlüsselung verwendet wird, wird das Protokoll verwendet
  • Nach der Implementierung möchten Sie die Konfiguration überprüfen
  • Sicherheitsrisiko in einem Penetrationstestergebnis gefunden

Die folgenden Tools sind hilfreich, um solche Probleme zu beheben.

DeepViolet

Tiefviolett ist ein Java-basiertes SSL / TLS-Scan-Tool, das in Binärform verfügbar ist oder mit Quellcode kompiliert werden kann.

Wenn Sie nach einer Alternative für SSL Labs suchen, die in einem internen Netzwerk verwendet werden kann, ist DeepViolet eine gute Wahl. Es wird nach Folgendem gesucht.

  • Schwache Chiffre freigelegt
  • Schwacher Signaturalgorithmus
  • Widerrufsstatus der Zertifizierung
  • Ablauf des Zertifikats Status
  • Visualisieren Sie die Vertrauenskette, eine selbstsignierte Wurzel

SSL Diagnos

Bewerten Sie schnell die SSL-Stärke Ihrer Website. SSL-Diagnose SSL-Protokoll extrahieren, Chiffresuiten, Herzbluten, BIEST.

Nicht nur HTTPS, sondern Sie können auch die SSL-Stärke testen SMTP, SIP, POP3 und FTPS.

SSLyze

SSLyze ist eine Python-Bibliothek und ein Befehlszeilentool, das eine Verbindung zum SSL-Endpunkt herstellt und einen Scan durchführt, um eine SSL / TLS-Fehlkonfiguration zu identifizieren.

Das Scannen durch SSLyze ist schnell, da ein Test über mehrere Prozesse verteilt wird. Wenn Sie Entwickler sind oder in Ihre vorhandene Anwendung integrieren möchten, haben Sie die Möglichkeit, das Ergebnis im XML- oder JSON-Format zu schreiben.

SSLyze ist auch in Kali Linux verfügbar. Wenn Sie neu in Kali sind, dann schauen Sie sich das an wie man Kali Linux installiert auf VMWare Fusion.

OpenSSL

Unterschätze nicht OpenSSL, eines der leistungsstarken eigenständigen Tools für Windows oder Linux, mit denen verschiedene SSL-bezogene Aufgaben wie Verifizierung, CSR-Generierung, Konvertierung der Zertifizierung, usw.

SSL Labs Scan

Lieben Sie Qualys SSL Labs? Du bist nicht allein; Ich liebe es auch.

Wenn Sie nach einem Befehlszeilentool für SSL Labs für automatisierte Tests oder Massentests suchen, dann SSL Labs-Scan wäre nützlich.

SSL Scan

SSL-Scan ist kompatibel mit Windows, Linux und MAC. SSL Scan hilft schnell, die folgenden Metriken zu identifizieren.

  • Markieren Sie SSLv2 / SSLv3 / CBC / 3DES / RC4 / chiffren
  • Melden Sie schwache (<40 Bit), null / anonyme Chiffren
  • Überprüfen Sie die TLS-Komprimierung und die Sicherheitslücke
  • und vieles mehr ...

Wenn Sie an Problemen mit der Verschlüsselung arbeiten, ist ein SSL-Scan ein hilfreiches Tool, um die Fehlerbehebung zu beschleunigen.

Geekflare TLS Scanner API

Eine weitere raffinierte Lösung für Webmaster kann die sein Geekflare-TLS-Scanner-API.

Geekflare TLS-Scanner-API

Dies ist eine robuste Methode, um das TLS-Protokoll, CN, SAN und andere Zertifikatsdetails in Sekundenbruchteilen zu überprüfen. Und Sie können dies risikofrei mit einem kostenlosen Abonnement für bis zu 3000 Anfragen pro Monat ausprobieren.

Die Basis-Premium-Stufe fügt jedoch eine höhere Anforderungsrate und 10 API-Aufrufe für nur 5 US-Dollar pro Monat hinzu.

TestSSL

Wie der Name schon sagt, SSL testen ist ein Befehlszeilentool, das mit Linux oder OS kompatibel ist. Es testet alle wesentlichen Metriken und gibt den Status an, ob gut oder schlecht.

Ex:

Testprotokolle über Sockets nur nicht SPDY + HTTP2

SSLv2 nicht angeboten (OK) SSLv3 nicht angeboten (OK) TLS 1 angeboten TLS 1.1 angeboten TLS 1.2 angeboten (OK) SPDY / NPN h2, spdy / 3.1, http / 1.1 (angekündigt) HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (angeboten)

Testen von ~ Standard-Verschlüsselungskategorien

NULL-Chiffren (keine Verschlüsselung) nicht angeboten (OK) Anonym NULL-Chiffren (keine Authentifizierung) nicht angeboten (OK) Export-Chiffren (ohne ADH + NULL) nicht angeboten (OK) NIEDRIG: 64-Bit + DES-Verschlüsselung (ohne Export) ) nicht angeboten (OK) Schwache 128-Bit-Chiffren (SEED, IDEA, RC [2,4]) nicht angeboten (OK) Triple DES-Chiffren (mittel) nicht angeboten (OK) Hohe Verschlüsselung (AES + Camellia, kein AEAD) angeboten ( OK) Starke Verschlüsselung (AEAD-Chiffren) angeboten (OK)

Testen der Servereinstellungen

Hat Server Chiffre Reihenfolge? ja (OK) Verhandlungsprotokoll TLSv1.2 Verhandlungsverschlüsselung ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256-Bit-ECDH (P-256) Verschlüsselungsreihenfolge TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECD -POLY20 ECDHE-ECDSA-AES1305-GCM-SHA128 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA128 ECDHE-ECDSA-AES256-GCM-SHA256 ECDHE-ECDSA-AES384-SHA ECDE RSA-CHACHA256-POLY256-ALT ECDHE-RSA-CHACHA384-POLY20 ECDHE-RSA-AES1305-GCM-SHA20 ECDHE-RSA-AES1305-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA128 RSA-AES256-GCM-SHA128 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA128 AES256-GCM-SHA256 AES384-SHA AES256-SHA256

Schwachstellen testen

Heartbleed (CVE-2014-0160) nicht anfällig (OK), keine Heartbeat-Erweiterung CCS (CVE-2014-0224) nicht anfällig (OK) Ticketbleed (CVE-2016-9244), Experiment. nicht anfällig (OK) Sichere Neuverhandlung (CVE-2009-3555) nicht anfällig (OK) Sichere vom Kunden initiierte Neuverhandlung nicht anfällig (OK) CRIME, TLS (CVE-2012-4929) nicht anfällig (OK) BREACH (CVE-2013- 3587) möglicherweise NICHT in Ordnung, verwendet die gzip-HTTP-Komprimierung. - nur mitgeliefert "/" getestet Kann für statische Seiten ignoriert werden oder wenn keine Geheimnisse auf der Seite POODLE, SSL (CVE-2014-3566) nicht anfällig sind (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade-Angriffsprävention unterstützt (OK) SWEET32 (CVE) -2016-2183, CVE-2016-6329) nicht anfällig (OK) FREAK (CVE-2015-0204) nicht anfällig (OK) DROWN (CVE-2016-0800, CVE-2016-0703) nicht anfällig für diesen Host und Port (OK) Stellen Sie sicher, dass Sie dieses Zertifikat nicht anderweitig mit SSLv2-fähigen Diensten verwenden ): Keine DH EXPORT-Chiffren, kein DH-Schlüssel erkannt BEAST (CVE-4-8) TLS1: ECDHE-RSA-AES3-SHA AES0-SHA ECDHE-RSA-AES0-SHA AES6-SHA DES-CBC4-SHA VULNERABLE - aber unterstützt auch höhere Protokolle (mögliche Abschwächung): TLSv44 TLSv5 LUCKY4 (CVE-1-7) VULNERABLE, verwendet CBC-Chiffren (CBC) (CVE-2314-1458, CVE-925-30) keine RC6235-Chiffren rs erkannt (OK)

Wie Sie sehen können, deckt es eine große Anzahl von Schwachstellen, Verschlüsselungseinstellungen, Protokollen usw. ab. TestSSL.sh ist auch in a verfügbar Docker-Bild.

Wenn Sie einen Remote-Scan mit testssl.sh durchführen müssen, können Sie es versuchen Geekflare TLS-Scanner.

TLS Scan

Sie können entweder bauen TLS-Scan von der Quelle oder Download-Binärdatei für Linux / OSX. Es extrahiert Zertifikatinformationen vom Server und druckt die folgenden Metriken im JSON-Format.

  • Überprüfung des Hostnamens
  • TLS-Komprimierungsprüfungen
  • Aufzählung der Verschlüsselungs- und TLS-Versionsaufzählung
  • Überprüfung der Wiederverwendung von Sitzungen

Es unterstützt die Protokolle TLS, SMTP, STARTTLS und MySQL. Sie können die resultierende Ausgabe auch in a integrieren Protokollanalysator wie Splunk, ELK.

Cipher Scan

Ein schnelles Tool, um zu analysieren, was die HTTPS-Website alle Chiffren unterstützt. Verschlüsselungsscan hat auch eine Option, um die Ausgabe im JSON-Format anzuzeigen. Es ist Wrapper und verwendet intern den OpenSSL-Befehl.

SSL Audit

SSL-Prüfung ist ein Open-Source-Tool zur Überprüfung des Zertifikats und zur Unterstützung des Protokolls, der Chiffren und der Note basierend auf SSL Labs.

Ich hoffe, die oben genannten Open-Source-Tools helfen Ihnen dabei, das kontinuierliche Scannen in Ihren vorhandenen Protokollanalysator zu integrieren und die Fehlerbehebung zu vereinfachen.