10 GRATIS SSL / TLS-probleemoplossingstools voor webmaster

Je moet vaak debug SSL / TLS gerelateerde problemen terwijl u werkt als webingenieur, webmaster of systeembeheerder.


Er zijn genoeg van online tools voor SSL-certificaat, SSL / TLS-kwetsbaarheden testen, maar als het gaat om het testen van intranet-gebaseerde URL, VIP, IP, dan zullen ze niet nuttig zijn.

Om problemen met intranet op te lossen, hebt u standalone software / tools nodig die u in uw netwerk kunt installeren en een noodzakelijke test kunt uitvoeren.

Er kunnen verschillende scenario’s zijn, zoals:

  • Problemen hebben bij de implementatie van SSL-certificaten met webserver
  • Wilt u zeker zijn van de nieuwste / specifieke codering, dan wordt het protocol gebruikt
  • Na de implementatie wilt u de configuratie verifiëren
  • Beveiligingsrisico gevonden in het resultaat van een penetratietest

De volgende tools zijn handig om dergelijke problemen op te lossen.

DeepViolet

DeepViolet is een op Java gebaseerde SSL / TLS-scantool die beschikbaar is in binair, of u kunt compileren met broncode.

Als u op zoek bent naar een alternatief voor SSL Labs voor gebruik op een intern netwerk, dan is DeepViolet een goede keuze. Het zoekt naar het volgende.

  • Zwak cijfer zichtbaar
  • Zwak ondertekeningsalgoritme
  • Status van intrekking van certificering
  • Vervalstatus van certificaat
  • Visualiseer trust-chain, een zelfondertekende root

SSL-diagnoses

Evalueer snel de SSL-sterkte van uw website. SSL-diagnoses extract SSL-protocol, coderingssuites, heartbleed, BEAST.

Niet alleen HTTPS, maar u kunt de SSL-sterkte testen voor SMTP, SIP, POP3 en FTPS.

SSLyze

SSLyze is een Python-bibliotheek en opdrachtregelprogramma dat verbinding maakt met SSL-eindpunt en een scan uitvoert om elke SSL / TLS-missconfiguratie te identificeren.

Scannen via SSLyze is snel omdat een test via meerdere processen wordt gedistribueerd. Bent u een ontwikkelaar of wilt u integreren met uw bestaande applicatie, dan heeft u de mogelijkheid om het resultaat in XML- of JSON-formaat te schrijven.

SSLyze is ook beschikbaar in Kali Linux.

OpenSSL

Onderschat OpenSSL niet, een van de krachtige zelfstandige tools die beschikbaar zijn voor Windows of Linux om verschillende SSL-gerelateerde taken uit te voeren, zoals verificatie, CSR-generatie, certificeringsconversie, enz..

SSL Labs Scan

Ben je dol op Qualys SSL Labs? Je bent niet alleen; ik hou er ook van.

Als u op zoek bent naar een opdrachtregelprogramma voor SSL Labs voor geautomatiseerde of bulktests, dan SSL Labs Scan zou nuttig zijn.

SSL-scan

SSL-scan is compatibel met Windows, Linux en MAC. SSL-scan helpt snel bij het identificeren van de volgende statistieken.

  • Markeer SSLv2 / SSLv3 / CBC / 3DES / RC4 / cijfers
  • Rapporteer zwak (<40bit), null / anonieme cijfers
  • Controleer TLS-compressie, heartbleed kwetsbaarheid
  • en veel meer…

Als u aan cijfergerelateerde problemen werkt, zou een SSL-scan een nuttig hulpmiddel zijn om de probleemoplossing snel te volgen.

TestSSL

Zoals de naam al aangeeft, TestSSL is een opdrachtregelprogramma dat compatibel is met Linux of OS. Het test alle essentiële statistieken en geeft status, goed of slecht.

Ex:

Protocollen testen via sockets behalve SPDY + HTTP2

SSLv2 niet aangeboden (OK)
SSLv3 niet aangeboden (OK)
TLS 1 aangeboden
TLS 1.1 aangeboden
TLS 1.2 aangeboden (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (geadverteerd)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (aangeboden)

Testen van ~ standaard cijfercategorieën

NULL cijfers (geen codering) niet aangeboden (OK)
Anonieme NULL-cijfers (geen authenticatie) niet aangeboden (OK)
Export cijfers (zonder ADH + NULL) niet aangeboden (OK)
LAAG: 64 Bit + DES-codering (zonder export) niet aangeboden (OK)
Zwakke 128-bits cijfers (SEED, IDEA, RC [2,4]) niet aangeboden (OK)
Triple DES Ciphers (Medium) niet aangeboden (OK)
Hoge codering (AES + Camellia, geen AEAD) aangeboden (OK)
Sterke codering (AEAD-codes) aangeboden (OK)

Servervoorkeuren testen

Heeft servercoderingsvolgorde? Ja ok)
Onderhandeld protocol TLSv1.2
Onderhandeld cijfer ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cijferorde
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OUD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Kwetsbaarheden testen

Heartbleed (CVE-2014-0160) niet kwetsbaar (OK), geen hartslagverlenging
CCS (CVE-2014-0224) niet kwetsbaar (OK)
Ticketbleed (CVE-2016-9244), experiment. niet kwetsbaar (OK)
Veilige heronderhandeling (CVE-2009-3555) niet kwetsbaar (OK)
Veilige door de klant geïnitieerde heronderhandeling niet kwetsbaar (OK)
MISDAAD, TLS (CVE-2012-4929) niet kwetsbaar (OK)
BREACH (CVE-2013-3587) mogelijk NIET OK, gebruikt gzip HTTP-compressie. – alleen geleverd "/" getest
Kan worden genegeerd voor statische pagina’s of als er geen geheimen in de pagina zijn
POODLE, SSL (CVE-2014-3566) niet kwetsbaar (OK)
TLS_FALLBACK_SCSV (RFC 7507) Preventie van downgrade-aanvallen ondersteund (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) niet kwetsbaar (OK)
FREAK (CVE-2015-0204) niet kwetsbaar (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) niet kwetsbaar op deze host en poort (OK)
zorg ervoor dat u dit certificaat niet elders gebruikt met SSLv2-services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 kan u helpen erachter te komen
LOGJAM (CVE-2015-4000), experimenteel niet kwetsbaar (OK): geen DH EXPORT-codes, geen DH-sleutel gedetecteerd
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
KWETSBAAR – maar ondersteunt ook hogere protocollen (mogelijke beperking): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) KWETSBAAR, maakt gebruik van cipher block chaining (CBC) cijfers
RC4 (CVE-2013-2566, CVE-2015-2808) geen RC4-codes gedetecteerd (OK)

Zoals je kunt zien, dekt het een groot aantal kwetsbaarheden, coderingsvoorkeuren, protocollen, etc. TestSSL.sh is ook beschikbaar in Docker-afbeelding.

Als u een externe scan moet uitvoeren met testssl.sh, kunt u het proberen Geekflare TLS-scanner.

TLS-scan

Je kunt beide bouwen TLS-Scan vanaf de bron of download binair voor Linux / OSX. Het haalt certificaatinformatie van de server en drukt de volgende statistieken af ​​in JSON-indeling.

  • Controle van hostnaamverificatie
  • TLS-compressiecontroles
  • Cijfer- en TLS-versie-opsommingscontroles
  • Controles voor hergebruik van sessies

Het ondersteunt de protocollen TLS, SMTP, STARTTLS en MySQL. U kunt de resulterende uitvoer ook integreren in een logboekanalysator zoals Splunk, ELK.

Cipher Scan

Een snelle tool om te analyseren wat de HTTPS-website alle coderingen ondersteunt. Cipher Scan heeft ook een optie om output in JSON-formaat te tonen. Het is wrapper en gebruikt intern de OpenSSL-opdracht.

SSL-audit

SSL-audit is een open-source tool om het certificaat te verifiëren en het protocol, cijfers en cijfer te ondersteunen op basis van SSL Labs.

Ik hoop dat de bovenstaande open-source tools je helpen om continu scannen te integreren met je bestaande logboekanalyser en het oplossen van problemen te vergemakkelijken.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map