muitas vezes você precisa depurar problemas relacionados a SSL/TLS enquanto trabalha como engenheiro da web, webmaster ou administrador do sistema.
Há muitos ferramentas online para certificado SSL , Testando vulnerabilidades SSL/TLS mas quando se trata de testar URL, VIP e IP baseados em intranet, eles não serão úteis.
Para solucionar problemas de recursos de intranet, você precisa de um software/ferramentas independentes que possa instalar em sua rede e realizar um teste necessário.
Pode haver vários cenários, como:
- Tendo problemas durante a implementação do certificado SSL com o servidor web
- Deseja garantir a cifra mais recente/específica, o protocolo está sendo usado
- Pós-implementação, deseja verificar a configuração
- Risco de segurança encontrado em um resultado de teste de penetração
As ferramentas a seguir serão úteis para solucionar esses problemas.
DeepViolet
DeepViolet é uma ferramenta de varredura SSL/TLS baseada em java disponível em binário, ou você pode compilar com o código-fonte.
Se você está procurando uma alternativa de SSL Labs para ser usado em uma rede interna, o DeepViolet seria uma boa escolha. Ele verifica o seguinte.
- Cifra fraca exposta
- Algoritmo de assinatura fraco
- Status de revogação da certificação
- Expiração do certificado status
- Visualize a cadeia de confiança, uma raiz autoassinada
Diagnóstico SSL
Avalie rapidamente a força do SSL do seu site. Diagnóstico SSL extrair protocolo SSL, conjuntos de cifras, coração sangrando FERA.
Não apenas HTTPS, mas você pode testar a força do SSL para SMTP, SIP, POP3 e FTPS.
SSLyze
SSLyze é uma biblioteca Python e uma ferramenta de linha de comando que se conecta ao terminal SSL e executa uma verificação para identificar qualquer configuração incorreta de SSL/TLS.
A varredura por SSLyze é rápida, pois um teste é distribuído por vários processos. Se você é um desenvolvedor ou gostaria de integrar com seu aplicativo existente, então você tem a opção de escrever o resultado no formato XML ou JSON.
O SSLyze também está disponível no Kali Linux. Se você é novo em Kali, confira como instalar Kali Linux no VMware Fusion.
OpenSSL
Não subestime OpenSSL uma das poderosas ferramentas independentes disponíveis para Windows ou Linux para executar várias tarefas relacionadas a SSL, como verificação, geração de CSR, conversão de certificação etc
Verificação de laboratórios SSL
Adora os laboratórios SSL da Qualys? Você não está sozinho; Eu também adoro.
Se você estiver procurando por uma ferramenta de linha de comando para SSL Labs para testes automatizados ou em massa, então Verificação de laboratórios SSL seria útil.
Verificação SSL
Verificação SSL é compatível com Windows, Linux e MAC. O SSL Scan ajuda a identificar rapidamente as seguintes métricas.
- Destaque SSLv2/SSLv3/CBC/3DES/RC4/ cifras
- Relatar cifras fracas (<40 bits), nulas/anônimas
- Verifique a compressão TLS, vulnerabilidade heartbleed
- e muito mais…
Se você estiver trabalhando em problemas relacionados à cifra, uma verificação SSL seria uma ferramenta útil para acelerar a solução de problemas.
Tecnologico TLS Scanner API
Outra solução bacana para webmasters pode ser o Tecnologico TLS Scanner API .
Este é um método robusto para verificar o protocolo TLS, CN, SAN e outros detalhes do certificado em uma fração de segundo. E você pode experimentar sem riscos com uma assinatura gratuita para até 3.000 solicitações por mês.
No entanto, o nível premium básico adiciona uma taxa de solicitação maior e 10.000 chamadas de API por apenas 5 por mês.
TestSSL
Como o nome indica, TestSSL é uma ferramenta de linha de comando compatível com Linux ou sistema operacional. Ele testa todas as métricas essenciais e dá status, seja bom ou ruim.
Ex:
Testing protocols via sockets except SPDY+HTTP2 SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 offered TLS 1.1 offered TLS 1.2 offered (OK) SPDY/NPN h2, spdy/3.1, http/1.1 (advertised) HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered) Testing ~standard cipher categories NULL ciphers (no encryption) not offered (OK) Anonymous NULL Ciphers (no authentication) not offered (OK) Export ciphers (w/o ADH+NULL) not offered (OK) LOW: 64 Bit + DES encryption (w/o export) not offered (OK) Weak 128 Bit ciphers (SEED, IDEA, RC(2,4)) not offered (OK) Triple DES Ciphers (Medium) not offered (OK) High encryption (AES+Camellia, no AEAD) offered (OK) Strong encryption (AEAD ciphers) offered (OK) Testing server preferences Has server cipher order? yes (OK) Negotiated protocol TLSv1.2 Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256) Cipher order TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA AES256-SHA256 Testing vulnerabilities Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension CCS (CVE-2014-0224) not vulnerable (OK) Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK) Secure Renegotiation (CVE-2009-3555) not vulnerable (OK) Secure Client-Initiated Renegotiation not vulnerable (OK) CRIME, TLS (CVE-2012-4929) not vulnerable (OK) BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested Can be ignored for static pages or if no secrets in the page POODLE, SSL (CVE-2014-3566) not vulnerable (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK) SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK) FREAK (CVE-2015-0204) not vulnerable (OK) DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK) make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2 LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Como você pode ver, ele cobre um grande número de vulnerabilidades, preferências de cifra, protocolos, etc. TestSSL.sh também está disponível em um imagem do docker .
Se você precisar fazer uma verificação remota usando o testssl.sh, tente Scanner Tecnologico TLS .
Escaneamento TLS
Você pode construir TLS-Scan da fonte ou baixe o binário para Linux/OSX. Ele extrai as informações do certificado do servidor e imprime as seguintes métricas no formato JSON.
- Verificações de verificação de nome de host
- Verificações de compactação TLS
- Verificações de enumeração de versão cifrada e TLS
- Verificações de reutilização de sessão
Suporta TLS, SMTP , STARTTLS e protocolos MySQL. Você também pode integrar a saída resultante em um analisador de registros como Splunk, ELK.
Varredura cifrada
Uma ferramenta rápida para analisar o que o site HTTPS suporta todas as cifras. Varredura cifrada também tem a opção de mostrar a saída no formato JSON. É wrapper e internamente usando o comando OpenSSL.
Auditoria SSL
auditoria SSL é uma ferramenta de código aberto para verificar o certificado e oferecer suporte ao protocolo, cifras e notas com base no SSL Labs.
Espero que as ferramentas de código aberto acima ajudem você a integrar a verificação contínua com seu analisador de log existente e facilite a solução de problemas.
