11 ΔΩΡΕΑΝ Εργαλεία αντιμετώπισης προβλημάτων SSL/TLS για Webmaster

από
Tweet
Share
Share
Pin

Συχνά χρειάζεται να διορθώσετε ζητήματα που σχετίζονται με το SSL/TLS ενώ εργάζεστε ως μηχανικός ιστού, webmaster ή διαχειριστής συστήματος.

Υπάρχουν πολλά διαδικτυακά εργαλεία για πιστοποιητικό SSL, Έλεγχος τρωτών σημείων SSL/TLS, αλλά όταν πρόκειται για δοκιμή URL, VIP, IP που βασίζεται σε intranet, τότε δεν θα είναι χρήσιμα.

Για την αντιμετώπιση προβλημάτων πόρων intranet, χρειάζεστε ένα αυτόνομο λογισμικό/εργαλεία που μπορείτε να εγκαταστήσετε στο δίκτυό σας και να εκτελέσετε την απαραίτητη δοκιμή.

Μπορεί να υπάρχουν διάφορα σενάρια, όπως:

  • Αντιμετώπιση προβλημάτων κατά την υλοποίηση του πιστοποιητικού SSL με τον διακομιστή ιστού
  • Θέλετε να διασφαλίσετε την πιο πρόσφατη/συγκεκριμένη κρυπτογράφηση, χρησιμοποιείται πρωτόκολλο
  • Μετά την υλοποίηση, επιθυμείτε να επαληθεύσετε τη διαμόρφωση
  • Βρέθηκε κίνδυνος ασφαλείας σε ένα αποτέλεσμα δοκιμής διείσδυσης

Τα παρακάτω εργαλεία θα είναι χρήσιμα για την αντιμετώπιση τέτοιων προβλημάτων.

DeepViolet

DeepViolet είναι ένα εργαλείο σάρωσης SSL/TLS που βασίζεται σε java, διαθέσιμο σε δυαδικό σύστημα ή μπορείτε να μεταγλωττίσετε με πηγαίο κώδικα.

Αν ψάχνετε για μια εναλλακτική λύση SSL Labs για χρήση σε εσωτερικό δίκτυο, τότε το DeepViolet θα ήταν μια καλή επιλογή. Σαρώνει για τα ακόλουθα.

  • Αδύναμη κρυπτογράφηση εκτεθειμένη
  • Αδύναμος αλγόριθμος υπογραφής
  • Κατάσταση ανάκλησης πιστοποίησης
  • Κατάσταση λήξης πιστοποιητικού
  • Οραματιστείτε την αλυσίδα εμπιστοσύνης, μια αυτο-υπογεγραμμένη ρίζα

Διαγνωστικά SSL

Αξιολογήστε γρήγορα την ισχύ του SSL του ιστότοπού σας. Διαγνωστικά SSL εξαγωγή πρωτοκόλλου SSL, σουίτες κρυπτογράφησης, heartbleed, BEAST.

Όχι μόνο HTTPS, αλλά μπορείτε να δοκιμάσετε την ισχύ του SSL για SMTP, SIP, POP3 και FTPS.

SSlyze

SSlyze είναι μια βιβλιοθήκη Python και ένα εργαλείο γραμμής εντολών που συνδέεται με το τελικό σημείο SSL και εκτελεί μια σάρωση για τον εντοπισμό οποιασδήποτε διαμόρφωσης σφάλματος SSL/TLS.

  Ο απόλυτος οδηγός για τη σχεδίαση δικτύου

Η σάρωση μέσω SSlyze είναι γρήγορη καθώς μια δοκιμή διανέμεται μέσω πολλαπλών διεργασιών. Εάν είστε προγραμματιστής ή θέλετε να ενσωματώσετε την υπάρχουσα εφαρμογή σας, τότε έχετε την επιλογή να γράψετε το αποτέλεσμα σε μορφή XML ή JSON.

Το SSlyze είναι επίσης διαθέσιμο στο Kali Linux. Εάν είστε νέοι στο Kali, ελέγξτε πώς να εγκαταστήσετε το Kali Linux στο VMWare Fusion.

OpenSSL

Μην υποτιμάτε το OpenSSL, ένα από τα ισχυρά αυτόνομα εργαλεία που είναι διαθέσιμα για Windows ή Linux για την εκτέλεση διαφόρων εργασιών που σχετίζονται με το SSL, όπως η επαλήθευση, η δημιουργία CSR, η μετατροπή πιστοποίησης κ.λπ.

SSL Labs Scan

Αγαπάτε τα Qualys SSL Labs; Δεν είσαι μόνος; Μου αρέσει και μένα.

Αν ψάχνετε για ένα εργαλείο γραμμής εντολών για SSL Labs για αυτοματοποιημένες ή μαζικές δοκιμές, τότε SSL Labs Scan θα ήταν χρήσιμο.

Σάρωση SSL

Σάρωση SSL είναι συμβατό με Windows, Linux και MAC. Η σάρωση SSL βοηθά γρήγορα στον εντοπισμό των ακόλουθων μετρήσεων.

  • Επισημάνετε τους κρυπτογράφους SSLv2/SSLv3/CBC/3DES/RC4/
  • Αναφορά αδύναμων (<40bit), μηδενικών/ανώνυμων κρυπτογράφησης
  • Επαληθεύστε τη συμπίεση TLS, την ευπάθεια καρδιακής αιμορραγίας
  • και πολλα ΑΚΟΜΑ…

Εάν εργάζεστε σε ζητήματα που σχετίζονται με κρυπτογράφηση, τότε μια σάρωση SSL θα ήταν ένα χρήσιμο εργαλείο για τη γρήγορη παρακολούθηση της αντιμετώπισης προβλημάτων.

grtechpc.org TLS Scanner API

Μια άλλη εξαιρετική λύση για webmasters μπορεί να είναι το grtechpc.org TLS Scanner API.

Αυτή είναι μια ισχυρή μέθοδος για τον έλεγχο του πρωτοκόλλου TLS, του CN, του SAN και άλλων στοιχείων πιστοποιητικού σε κλάσματα δευτερολέπτου. Και μπορείτε να το δοκιμάσετε χωρίς κίνδυνο με μια δωρεάν συνδρομή για έως και 3000 αιτήματα ανά μήνα.

  8 API Affiliate Programs Developers μπορούν να εγγραφούν για να κερδίσουν χρήματα

Ωστόσο, το βασικό επίπεδο premium προσθέτει μεγαλύτερο ποσοστό αιτημάτων και το API 10K απαιτεί μόλις 5 $ το μήνα.

TestSSL

Όπως υποδηλώνει το όνομα, TestSSL είναι ένα εργαλείο γραμμής εντολών συμβατό με Linux ή OS. Δοκιμάζει όλες τις βασικές μετρήσεις και δίνει την κατάσταση, είτε καλή είτε κακή.

Πρώην:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Όπως μπορείτε να δείτε, καλύπτει μεγάλο αριθμό ευπαθειών, προτιμήσεις κρυπτογράφησης, πρωτόκολλα κ.λπ. Το TestSSL.sh είναι επίσης διαθέσιμο σε εικόνα αποβάθρας.

  7 Υψηλά αμειβόμενοι ρόλοι εργασίας στην πληροφορική

Εάν χρειάζεται να κάνετε απομακρυσμένη σάρωση χρησιμοποιώντας το testssl.sh, τότε μπορείτε να δοκιμάσετε το grtechpc.org TLS Scanner.

Σάρωση TLS

Μπορείτε είτε να φτιάξετε TLS-Σάρωση από την πηγή ή κατεβάστε δυαδικό για Linux/OSX. Εξάγει πληροφορίες πιστοποιητικού από τον διακομιστή και εκτυπώνει τις ακόλουθες μετρήσεις σε μορφή JSON.

  • Έλεγχοι επαλήθευσης ονόματος κεντρικού υπολογιστή
  • Έλεγχοι συμπίεσης TLS
  • Έλεγχοι απαρίθμησης έκδοσης κρυπτογράφησης και TLS
  • Έλεγχοι επαναχρησιμοποίησης συνεδρίας

Υποστηρίζει πρωτόκολλα TLS, SMTP, STARTTLS και MySQL. Μπορείτε επίσης να ενσωματώσετε την έξοδο που προκύπτει σε έναν αναλυτή καταγραφής όπως το Splunk, το ELK.

Σάρωση κρυπτογράφησης

Ένα γρήγορο εργαλείο για να αναλύσετε τι υποστηρίζει ο ιστότοπος HTTPS όλους τους κρυπτογράφησης. Σάρωση κρυπτογράφησης έχει επίσης μια επιλογή εμφάνισης εξόδου σε μορφή JSON. Είναι περιτύλιγμα και εσωτερικά χρησιμοποιεί την εντολή OpenSSL.

Έλεγχος SSL

Έλεγχος SSL είναι ένα εργαλείο ανοιχτού κώδικα για την επαλήθευση του πιστοποιητικού και την υποστήριξη του πρωτοκόλλου, των κρυπτογράφησης και του βαθμού με βάση τα εργαστήρια SSL.

Ελπίζω τα παραπάνω εργαλεία ανοιχτού κώδικα να σας βοηθήσουν να ενσωματώσετε τη συνεχή σάρωση με τον υπάρχοντα αναλυτή αρχείων καταγραφής και να διευκολύνετε την αντιμετώπιση προβλημάτων.