10 Mjete për zgjidhjen e problemeve SSL / TLS për Webmaster

Ju shpesh duhet të debugoni çështjet që lidhen me SSL / TLS ndërsa punon si një inxhinier i uebit, webmasteri ose administratori i sistemit.


Ka shumë mjetet në internet për çertifikatën SSL, Testimin e dobësive SSL / TLS, por kur bëhet fjalë për testimin e URL-së të bazuar në intranet, VIP, IP, atëherë ato nuk do të jenë të dobishëm.

Për të zgjidhur burimet e intranetit, keni nevojë për një softuer / mjete të pavarur, të cilat mund të instaloni në rrjetin tuaj dhe të bëni një provë të nevojshme.

Mund të ketë skenarë të ndryshëm, si:

  • Keni probleme gjatë zbatimit të certifikatës SSL me faqen e internetit
  • Dëshironi të siguroni kodifikimin e fundit / të veçantë, protokolli është duke u përdorur
  • Pas implementimit, dëshironi të verifikoni konfigurimin
  • Rreziku i sigurisë që gjendet në një rezultat të testit të depërtimit

Mjetet e mëposhtme do të jenë të dobishme për të zgjidhur çështje të tilla.

DeepViolet

DeepViolet është një mjet skanimi SSL / TLS i bazuar në Java, i disponueshëm në binar, ose mund të përpiloni me kod burimor.

Nëse jeni duke kërkuar një alternative të Labs SSL që do të përdoret në një rrjet të brendshëm, atëherë DeepViolet do të ishte një zgjedhje e mirë. Skanon për sa vijon.

  • Shifra e dobët e ekspozuar
  • Algoritmi i dobët i nënshkrimit
  • Statusi i revokimit të çertifikimit
  • Statusi i skadimit të certifikatës
  • Vizualizoni zinxhirin e besimit, një rrënjë vetë-nënshkruar

Diagnostifikimi SSL

Vlerësoni shpejt forcën SSL të faqes suaj të internetit. Diagnostifikimi SSL ekstrakt protokoll SSL, suita shifrash, me zemër, BEAST.

Jo vetëm HTTPS, por mund të provoni forcën SSL për SMTP, SIP, POP3 dhe FTPS.

SSLyze

SSLyze është një bibliotekë dhe mjet i linjës së komandës Python e cila lidhet me pikën e fundit SSL dhe kryen një skanim për të identifikuar çdo konfigurim SSL / TLS për humbje.

Skanimi përmes SSLyze është i shpejtë pasi një provë shpërndahet përmes proceseve të shumëfishta. Nëse jeni një zhvillues ose dëshironi të integroheni me aplikacionin tuaj ekzistues, atëherë ju keni një mundësi për të shkruar rezultatin në format XML ose JSON.

SSLyze është gjithashtu në dispozicion në Kali Linux.

OpenSSL

Mos e nënvlerësoni OpenSSL, një nga mjetet e fuqishme të pavarura të disponueshme për Windows ose Linux për të kryer detyra të ndryshme të lidhura me SSL si verifikimi, gjenerimi CSR, konvertimi i çertifikimit, etj.

Skanimi i laboratorëve SSL

Dashuria e Qualys Labs SSL? Ti nuk je vetëm; Edhe une e dua.

Nëse jeni duke kërkuar për një mjet të linjës komanduese për SSL Labs për testimin e automatizuar ose pjesa më e madhe, atëherë Skanimi i laboratorëve SSL do të ishte e dobishme.

Skanimi SSL

Skanimi SSL është kompatibil me Windows, Linux dhe MAC. SSL Scan ndihmon shpejt për të identifikuar matjet e mëposhtme.

  • Highlight SSLv2 / SSLv3 / CBC / 3DES / RC4 / shifra
  • Raporto dobët (<40bit), shifra të pavlefshëm / anonimë
  • Verifikoni kompresimin TLS, ndjeshmërinë e zemrës
  • edhe me shume…

Nëse jeni duke punuar në çështje të lidhura me shifrat, atëherë një skanim SSL do të ishte një mjet i dobishëm për të ndjekur me shpejtësi zgjidhjen e problemeve..

TestSSL

Siç tregon dhe emri, TestSSL është një mjet i linjës së komandës në përputhje me Linux ose OS. Ai teston të gjitha matjet thelbësore dhe i jep statusin, qoftë i mirë apo i keq.

ex:

Testimi i protokolleve përmes prizave përveç SPDY + HTTP2

SSLv2 nuk ofrohet (OK)
SSLv3 nuk ofrohet (OK)
TLS 1 ofruar
TLS 1.1 ofruar
TLS 1.2 e ofruar (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (reklamuar)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (ofrohet)

Testimi categories kategori standarde të shifrave

Shifra NULL (pa kriptim) nuk ofrohen (OK)
Shifrat anonimë NULL (pa autentifikim) nuk ofrohen (OK)
Kodet e eksportit (pa ADH + NULL) nuk ofrohen (OK)
LOW: 64 Kriptimi + Bit + DES (eksport w / o) nuk ofrohet (OK)
Shifra të dobëta 128 bit (SEED, IDEA, RC [2,4]) nuk ofrohen (OK)
Nuk janë ofruar shifra Triple DES (Medium)
Kriptim i lartë (AES + Camellia, pa AEAD) i ofruar (OK)
Kriptimi i fortë (shifrat AEAD) të ofruar (OK)

Testimi i preferencave të serverit

A ka porosi për shifrat e serverit? po ne rregull)
Protokolli i negociuar TLSv1.2
Shifra e negociuar ECDHE-ECDSA-CHACHA20-POLY1305-OLD, ECDH 256 bit (P-256)
Porosia e shifrimit
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testimi i dobësive

Zemra e zemrës (CVE-2014-0160) nuk është e ndjeshme (OK), pa zgjatje rrahje zemre
CCS (CVE-2014-0224) nuk është e ndjeshme (OK)
Ticketbleed (CVE-2016-9244), eksperiment. jo i prekshëm (në rregull)
Renegotimi i Sigurt (CVE-2009-3555) nuk është i prekshëm (OK)
Renegotimi i Saktë nga Iniciativat e Klientit nuk është i prekshëm (OK)
KRIMI, TLS (CVE-2012-4929) nuk janë të prekshëm (OK)
BREACH (CVE-2013-3587) potencialisht NUK është në rregull, përdor compression gzip HTTP. – furnizohet vetëm "/" testuar
Mund të injorohet për faqe statike ose nëse nuk ka sekrete në faqe
POODLE, SSL (CVE-2014-3566) nuk është e prekshme (OK)
TLS_FALLBACK_SCSV (RFC 7507) Parandalimi i sulmit të minimizuar të mbështetur (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) jo i prekshëm (OK)
FREAK (CVE-2015-0204) nuk është i prekshëm (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) nuk është i prekshëm nga ky host dhe port (OK)
sigurohuni që nuk e përdorni këtë certifikatë diku tjetër me shërbime të aktivizuara SSLv2
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 mund t’ju ndihmojnë për të zbuluar
LOGJAM (CVE-2015-4000), eksperimentale jo e prekshme (OK): nuk ka shifra DH EXPORT, nuk është zbuluar asnjë çelës DH
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE – por gjithashtu mbështet protokolle më të larta (zbutje të mundshme): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) E VULNDOSHME, përdor shifrat e zinxhirit të blloqeve me shifra (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) nuk janë zbuluar shifra RC4 (OK)

Siç mund ta shihni, ajo mbulon një numër të madh të cenueshmërisë, preferencat e shifrave, protokollet, etj. TestSSL.sh është gjithashtu në dispozicion në imazhi docker.

Nëse keni nevojë të bëni një skanim të largët duke përdorur testssl.sh, atëherë mund të provoni Skanues Geekflare TLS.

Skanimi TLS

Ju ose mund të ndërtoni TLS-Scan nga burimi ose shkarkoni binar për Linux / OSX. Ai nxjerr informacione nga certifikata nga serveri dhe kopjon matjet e mëposhtme në formatin JSON.

  • Kontrollet e verifikimit të emrit të hostit
  • Kontrollet e kompresimit TLS
  • Kontrollet e regjistrimit të versionit Cipher dhe TLS
  • Kontrollet e ripërdorimit të sesionit

Ai mbështet protokollet TLS, SMTP, STARTTLS dhe MySQL. Ju gjithashtu mund të integroni rezultatin që rezulton në një analizues shkrimesh si Splunk, ELK.

Skanimi i shifrave

Një mjet i shpejtë për të analizuar atë që Uebfaqja e HTTPS mbështet të gjithë shifrat. Skanimi i shifrave gjithashtu ka një mundësi për të treguar daljen në formatin JSON. Wrshtë mbështjellës dhe i brendshëm duke përdorur komandën OpenSSL.

Auditimi SSL

Auditimi SSL është një mjet me burim të hapur për të verifikuar certifikatën dhe për të mbështetur protokollin, kodet dhe shkallën bazuar në SSL Labs.

Shpresoj se mjetet e mësipërme, me burim të hapur ju ndihmojnë të integroni skanimin e vazhdueshëm me analizuesin tuaj ekzistues dhe të lehtësoni zgjidhjen e problemeve.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map