Συχνά χρειάζεται να διορθώσετε ζητήματα που σχετίζονται με το SSL/TLS ενώ εργάζεστε ως μηχανικός ιστού, webmaster ή διαχειριστής συστήματος.
Υπάρχουν πολλά διαδικτυακά εργαλεία για πιστοποιητικό SSL, Έλεγχος τρωτών σημείων SSL/TLS, αλλά όταν πρόκειται για δοκιμή URL, VIP, IP που βασίζεται σε intranet, τότε δεν θα είναι χρήσιμα.
Για την αντιμετώπιση προβλημάτων πόρων intranet, χρειάζεστε ένα αυτόνομο λογισμικό/εργαλεία που μπορείτε να εγκαταστήσετε στο δίκτυό σας και να εκτελέσετε την απαραίτητη δοκιμή.
Μπορεί να υπάρχουν διάφορα σενάρια, όπως:
- Αντιμετώπιση προβλημάτων κατά την υλοποίηση του πιστοποιητικού SSL με τον διακομιστή ιστού
- Θέλετε να διασφαλίσετε την πιο πρόσφατη/συγκεκριμένη κρυπτογράφηση, χρησιμοποιείται πρωτόκολλο
- Μετά την υλοποίηση, επιθυμείτε να επαληθεύσετε τη διαμόρφωση
- Βρέθηκε κίνδυνος ασφαλείας σε ένα αποτέλεσμα δοκιμής διείσδυσης
Τα παρακάτω εργαλεία θα είναι χρήσιμα για την αντιμετώπιση τέτοιων προβλημάτων.
Πίνακας περιεχομένων
DeepViolet
DeepViolet είναι ένα εργαλείο σάρωσης SSL/TLS που βασίζεται σε java, διαθέσιμο σε δυαδικό σύστημα ή μπορείτε να μεταγλωττίσετε με πηγαίο κώδικα.
Αν ψάχνετε για μια εναλλακτική λύση SSL Labs για χρήση σε εσωτερικό δίκτυο, τότε το DeepViolet θα ήταν μια καλή επιλογή. Σαρώνει για τα ακόλουθα.
- Αδύναμη κρυπτογράφηση εκτεθειμένη
- Αδύναμος αλγόριθμος υπογραφής
- Κατάσταση ανάκλησης πιστοποίησης
- Κατάσταση λήξης πιστοποιητικού
- Οραματιστείτε την αλυσίδα εμπιστοσύνης, μια αυτο-υπογεγραμμένη ρίζα
Διαγνωστικά SSL
Αξιολογήστε γρήγορα την ισχύ του SSL του ιστότοπού σας. Διαγνωστικά SSL εξαγωγή πρωτοκόλλου SSL, σουίτες κρυπτογράφησης, heartbleed, BEAST.
Όχι μόνο HTTPS, αλλά μπορείτε να δοκιμάσετε την ισχύ του SSL για SMTP, SIP, POP3 και FTPS.
SSlyze
SSlyze είναι μια βιβλιοθήκη Python και ένα εργαλείο γραμμής εντολών που συνδέεται με το τελικό σημείο SSL και εκτελεί μια σάρωση για τον εντοπισμό οποιασδήποτε διαμόρφωσης σφάλματος SSL/TLS.
Η σάρωση μέσω SSlyze είναι γρήγορη καθώς μια δοκιμή διανέμεται μέσω πολλαπλών διεργασιών. Εάν είστε προγραμματιστής ή θέλετε να ενσωματώσετε την υπάρχουσα εφαρμογή σας, τότε έχετε την επιλογή να γράψετε το αποτέλεσμα σε μορφή XML ή JSON.
Το SSlyze είναι επίσης διαθέσιμο στο Kali Linux. Εάν είστε νέοι στο Kali, ελέγξτε πώς να εγκαταστήσετε το Kali Linux στο VMWare Fusion.
OpenSSL
Μην υποτιμάτε το OpenSSL, ένα από τα ισχυρά αυτόνομα εργαλεία που είναι διαθέσιμα για Windows ή Linux για την εκτέλεση διαφόρων εργασιών που σχετίζονται με το SSL, όπως η επαλήθευση, η δημιουργία CSR, η μετατροπή πιστοποίησης κ.λπ.
SSL Labs Scan
Αγαπάτε τα Qualys SSL Labs; Δεν είσαι μόνος; Μου αρέσει και μένα.
Αν ψάχνετε για ένα εργαλείο γραμμής εντολών για SSL Labs για αυτοματοποιημένες ή μαζικές δοκιμές, τότε SSL Labs Scan θα ήταν χρήσιμο.
Σάρωση SSL
Σάρωση SSL είναι συμβατό με Windows, Linux και MAC. Η σάρωση SSL βοηθά γρήγορα στον εντοπισμό των ακόλουθων μετρήσεων.
- Επισημάνετε τους κρυπτογράφους SSLv2/SSLv3/CBC/3DES/RC4/
- Αναφορά αδύναμων (<40bit), μηδενικών/ανώνυμων κρυπτογράφησης
- Επαληθεύστε τη συμπίεση TLS, την ευπάθεια καρδιακής αιμορραγίας
- και πολλα ΑΚΟΜΑ…
Εάν εργάζεστε σε ζητήματα που σχετίζονται με κρυπτογράφηση, τότε μια σάρωση SSL θα ήταν ένα χρήσιμο εργαλείο για τη γρήγορη παρακολούθηση της αντιμετώπισης προβλημάτων.
grtechpc.org TLS Scanner API
Μια άλλη εξαιρετική λύση για webmasters μπορεί να είναι το grtechpc.org TLS Scanner API.
Αυτή είναι μια ισχυρή μέθοδος για τον έλεγχο του πρωτοκόλλου TLS, του CN, του SAN και άλλων στοιχείων πιστοποιητικού σε κλάσματα δευτερολέπτου. Και μπορείτε να το δοκιμάσετε χωρίς κίνδυνο με μια δωρεάν συνδρομή για έως και 3000 αιτήματα ανά μήνα.
Ωστόσο, το βασικό επίπεδο premium προσθέτει μεγαλύτερο ποσοστό αιτημάτων και το API 10K απαιτεί μόλις 5 $ το μήνα.
TestSSL
Όπως υποδηλώνει το όνομα, TestSSL είναι ένα εργαλείο γραμμής εντολών συμβατό με Linux ή OS. Δοκιμάζει όλες τις βασικές μετρήσεις και δίνει την κατάσταση, είτε καλή είτε κακή.
Πρώην:
Testing protocols via sockets except SPDY+HTTP2 SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 offered TLS 1.1 offered TLS 1.2 offered (OK) SPDY/NPN h2, spdy/3.1, http/1.1 (advertised) HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered) Testing ~standard cipher categories NULL ciphers (no encryption) not offered (OK) Anonymous NULL Ciphers (no authentication) not offered (OK) Export ciphers (w/o ADH+NULL) not offered (OK) LOW: 64 Bit + DES encryption (w/o export) not offered (OK) Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK) Triple DES Ciphers (Medium) not offered (OK) High encryption (AES+Camellia, no AEAD) offered (OK) Strong encryption (AEAD ciphers) offered (OK) Testing server preferences Has server cipher order? yes (OK) Negotiated protocol TLSv1.2 Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256) Cipher order TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA AES256-SHA256 Testing vulnerabilities Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension CCS (CVE-2014-0224) not vulnerable (OK) Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK) Secure Renegotiation (CVE-2009-3555) not vulnerable (OK) Secure Client-Initiated Renegotiation not vulnerable (OK) CRIME, TLS (CVE-2012-4929) not vulnerable (OK) BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested Can be ignored for static pages or if no secrets in the page POODLE, SSL (CVE-2014-3566) not vulnerable (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK) SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK) FREAK (CVE-2015-0204) not vulnerable (OK) DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK) make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2 LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Όπως μπορείτε να δείτε, καλύπτει μεγάλο αριθμό ευπαθειών, προτιμήσεις κρυπτογράφησης, πρωτόκολλα κ.λπ. Το TestSSL.sh είναι επίσης διαθέσιμο σε εικόνα αποβάθρας.
Εάν χρειάζεται να κάνετε απομακρυσμένη σάρωση χρησιμοποιώντας το testssl.sh, τότε μπορείτε να δοκιμάσετε το grtechpc.org TLS Scanner.
Σάρωση TLS
Μπορείτε είτε να φτιάξετε TLS-Σάρωση από την πηγή ή κατεβάστε δυαδικό για Linux/OSX. Εξάγει πληροφορίες πιστοποιητικού από τον διακομιστή και εκτυπώνει τις ακόλουθες μετρήσεις σε μορφή JSON.
- Έλεγχοι επαλήθευσης ονόματος κεντρικού υπολογιστή
- Έλεγχοι συμπίεσης TLS
- Έλεγχοι απαρίθμησης έκδοσης κρυπτογράφησης και TLS
- Έλεγχοι επαναχρησιμοποίησης συνεδρίας
Υποστηρίζει πρωτόκολλα TLS, SMTP, STARTTLS και MySQL. Μπορείτε επίσης να ενσωματώσετε την έξοδο που προκύπτει σε έναν αναλυτή καταγραφής όπως το Splunk, το ELK.
Σάρωση κρυπτογράφησης
Ένα γρήγορο εργαλείο για να αναλύσετε τι υποστηρίζει ο ιστότοπος HTTPS όλους τους κρυπτογράφησης. Σάρωση κρυπτογράφησης έχει επίσης μια επιλογή εμφάνισης εξόδου σε μορφή JSON. Είναι περιτύλιγμα και εσωτερικά χρησιμοποιεί την εντολή OpenSSL.
Έλεγχος SSL
Έλεγχος SSL είναι ένα εργαλείο ανοιχτού κώδικα για την επαλήθευση του πιστοποιητικού και την υποστήριξη του πρωτοκόλλου, των κρυπτογράφησης και του βαθμού με βάση τα εργαστήρια SSL.
Ελπίζω τα παραπάνω εργαλεία ανοιχτού κώδικα να σας βοηθήσουν να ενσωματώσετε τη συνεχή σάρωση με τον υπάρχοντα αναλυτή αρχείων καταγραφής και να διευκολύνετε την αντιμετώπιση προβλημάτων.