Вам часто приходится сталкиваться с проблемами, связанными с SSL/TLS, если вы работаете веб-инженером, веб-мастером или системным администратором.
Существует множество онлайн-инструментов для работы с SSL-сертификаты , тестирование слабых мест в протоколах SSL/TLS, но когда речь идет о тестировании внутренней сети на основе URL, VIP, IP, то они вряд ли будут полезны.
Для диагностики внутренних сетевых ресурсов вам потребуется отдельное программное обеспечение/инструменты, которые вы сможете установить в своей сети и выполнить необходимые проверки.
Возможны различные сценарии, например:
- есть проблемы с установка SSL-сертификата на веб-сервер;
- требует использования новейшего/специфического шифра, протокола;
- Я хочу проверить конфигурацию после ввода в эксплуатацию;
- угроза безопасности была обнаружена во время тесты на уязвимости .
Инструменты с открытым исходным кодом для устранения проблем SSL/TLS:
- Глубокий Фиолетовый
- SSL-диагностика
- SSLyze
- OpenSSL
- SSL Labs сканирование
- SSL-сканирование
- Тестирование SSL
- TLS-сканирование
- Шифровое сканирование
- SSL-аудит
1.Глубокий фиолетовый
Глубокий Фиолетовый — это инструмент анализа SSL/TLS, написанный на Java, доступный в двоичном коде, или вы можете скомпилировать его из исходного кода.Если вы ищете альтернативу SSL Labs для использования в интрасети, то DeepViolet — хороший выбор.
Он сканирует следующее:
- использование слабого шифрования;
- слабый алгоритм подписи;
- статус отзыва сертификата;
- положение дел срок действия сертификата ;
- визуализация цепочки доверия, самоподписанный корневой сертификат.
2. Диагностика SSL
Быстро оценивает надежность SSL вашего сайта.SSL-диагностика анализирует протокол SSL, алгоритмы шифрования, уязвимости Сердцекровие ,ЗВЕРЬ.
Используется не только для HTTPS, вы можете проверить стабильность SSL для SMTP, SIP, POP3 и FTPS.
3. SSLyze
SSLyze — это библиотека Python и инструменты командной строки, которые подключаются к конечной точке SSL и сканируют, чтобы обнаружить недостающую конфигурацию SSL/TLS. Сканирование с помощью SSLyze выполняется быстро, поскольку сканирование распределяется по нескольким процессам.Если вы разработчик или хотите интегрировать его в существующее приложение, у вас есть возможность записать результат в формате XML или JSON. SSLyze также доступен в Кали Линукс .
4. OpenSSL
Не следует недооценивать OpenSSL это один из самых мощных автономных инструментов, доступных для Windows или Linux, для выполнения различных задач, связанных с SSL, таких как проверка, генерация CSR, преобразование формата сертификата и так далее.
5. Лабораторное сканирование SSL
Вам нравятся лаборатории Qualys SSL? Вы не одиноки - мне это тоже нравится.Если вы ищете инструмент командной строки для SSL Labs для автоматического или массового тестирования, тогда SSL Labs сканирование несомненно, будет полезен.
6. SSL-сканирование
SSL Scan совместим с Windows, Linux и Mac. SSL Scan помогает быстро определить следующие показатели:- выделение шифрования SSLv2/SSLv3/CBC/3DES/RC4;
- сообщение о слабом(<40 bits), zero or unknown encryption;
- проверить сжатие TLS, уязвимость Heartbleed;
- и многое другое…
7. Проверьте SSL
Как подсказывает название, ТестSSL — это инструмент командной строки, совместимый с Linux и другими операционными системами.
Он проверяет все критические показатели и показывает, что в порядке, а что нет. Например Testing protocols via sockets except SPDY+HTTP2
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)
Testing ~standard cipher categories
NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)
Testing server preferences
Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256
Testing vulnerabilities
Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4Эq=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Как видите, он охватывает большое количество уязвимостей, настроек шифрования, протоколов и т. д.
TestSSL.sh также доступен в Докер-образ .
8. TLS-сканирование
Вы можете собрать TLS-сканирование из исходного кода или загрузите двоичный код для Linux/OSX. Он получает информацию о сертификате с сервера и выводит следующие показатели в формате JSON:- проверка имени хоста;
- проверка сжатия TLS;
- проверка шифрования и нумерации версий TLS;
- проверка повторного использования сеанса.
9. Сканирование шифрования
Быстрый инструмент для анализа того, какие типы шифрования поддерживаются на веб-сайтах, использующих протокол HTTPS. Шифровое сканирование также предоставляет возможность отображать результаты в формате JSON. Это оболочка, использующая команды пакета OpenSSL.10. SSL-аудит
SSL-аудит — это инструмент с открытым исходным кодом для проверки сертификатов и поддержки протоколов, шифрования и стандартов на основе SSL Labs. Я надеюсь, что упомянутые инструменты с открытым исходным кодом помогут вам интегрировать непрерывное сканирование в существующие анализаторы журналов и упростят устранение неполадок.
Теги: #информационная безопасность #Системное администрирование #Разработка сайтов #безопасность #Тестирование веб-сервисов #tls #SSL
Проверить VPS.сегодня — сайт для поиска виртуальных серверов.1500 тарифов от 130 хостеров, удобный интерфейс и большое количество критериев для поиска лучшего виртуального сервера.
-
Три Самые Ненавистные Вещи В Компьютерах
19 Oct, 24 -
Погружение В Async-Await В Android
19 Oct, 24 -
Обзор Систем Управления Проектами
19 Oct, 24 -
Огнелис Как Сервер Разработки
19 Oct, 24
