11 БЕСПЛАТНИХ ССЛ/ТЛС алата за решавање проблема за вебмастере

by
Tweet
Share
Share
Pin

Често морате да отклањате грешке везане за ССЛ/ТЛС док радите као веб инжењер, вебмастер или администратор система.

Постоји много онлајн алата за ССЛ сертификат, тестирање ССЛ/ТЛС рањивости, али када је у питању тестирање УРЛ-а заснованог на интранету, ВИП-а, ИП-а, онда они неће бити од помоћи.

Да бисте решили проблеме са интранет ресурсима, потребан вам је самостални софтвер/алат који можете да инсталирате у своју мрежу и извршите неопходан тест.

Могу постојати различити сценарији, као што су:

  • Проблеми током имплементације ССЛ сертификата са веб сервером
  • Желите да се уверите да се користи најновија/посебна шифра, протокол
  • Након имплементације, желите да проверите конфигурацију
  • Безбедносни ризик пронађен у резултату теста пенетрације

Следећи алати ће бити корисни за решавање таквих проблема.

ДеепВиолет

ДеепВиолет је алатка за скенирање ССЛ/ТЛС заснована на јава која је доступна у бинарном облику, или можете компајлирати са изворним кодом.

Ако тражите алтернативу ССЛ Лабс-а за употребу на интерној мрежи, онда би ДеепВиолет био добар избор. Скенира следеће.

  • Слаба шифра откривена
  • Слаб алгоритам потписивања
  • Статус опозива сертификата
  • Статус истека сертификата
  • Замислите ланац поверења, самопотписани корен

ССЛ Диагнос

Брзо процените снагу ССЛ-а ваше веб локације. ССЛ Диагнос екстракт ССЛ протокол, пакети шифри, хеартблеед, БЕАСТ.

Не само ХТТПС, већ можете тестирати снагу ССЛ-а за СМТП, СИП, ПОП3 и ФТПС.

ССЛизе

ССЛизе је Питхон библиотека и алатка командне линије која се повезује са крајњом тачком ССЛ-а и врши скенирање да би идентификовала било коју ССЛ/ТЛС промашену конфигурацију.

  Како додати Гоогле календар на Мац

Скенирање кроз ССЛизе је брзо јер се тест дистрибуира кроз више процеса. Ако сте програмер или желите да се интегришете са својом постојећом апликацијом, онда имате опцију да запишете резултат у КСМЛ или ЈСОН формату.

ССЛизе је такође доступан у Кали Линук-у. Ако сте нови у Кали-у, погледајте како да инсталирате Кали Линук на ВМВаре Фусион.

ОпенССЛ

Не потцењујте ОпенССЛ, један од моћних самосталних алата доступних за Виндовс или Линук за обављање различитих задатака повезаних са ССЛ-ом као што су верификација, генерисање ЦСР-а, конверзија сертификата итд.

ССЛ Лабс Сцан

Волите Куалис ССЛ Лабс? Нисте сами; И ја то волим.

Ако тражите алатку командне линије за ССЛ Лабс за аутоматизовано или масовно тестирање, онда ССЛ Лабс Сцан било би корисно.

ССЛ скенирање

ССЛ скенирање је компатибилан са Виндовс, Линук и МАЦ. ССЛ скенирање брзо помаже да се идентификују следећи показатељи.

  • Истакните ССЛв2/ССЛв3/ЦБЦ/3ДЕС/РЦ4/ шифре
  • Извештај слаб (<40бит), нулл/анонимне шифре
  • Проверите ТЛС компресију, рањивост срца
  • и још много тога…

Ако радите на проблемима везаним за шифрирање, онда би ССЛ скенирање било корисно средство за брзо отклањање проблема.

вдзвдз ТЛС Сцаннер АПИ

Још једно одлично решење за вебмастере може бити вдзвдз ТЛС Сцаннер АПИ.

Ово је робустан метод за проверу ТЛС протокола, ЦН, САН и других детаља сертификата у делићу секунде. И ово можете испробати без ризика уз бесплатну претплату за до 3000 захтева месечно.

Међутим, основни премиум ниво додаје већу стопу захтева и 10.000 АПИ позива за само 5 УСД месечно.

ТестССЛ

Као што име говори, ТестССЛ је алатка командне линије компатибилна са Линуком или ОС. Тестира све основне метрике и даје статус, било да је добар или лош.

  Како повећати текст веб странице на Андроиду

нпр.

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Као што видите, покрива велики број рањивости, подешавања шифре, протокола, итд. ТестССЛ.сх је такође доступан у доцкер имаге.

  Текст, оквири и колажи; 3 ствари које Инстаграм не ради и апликације које то раде

Ако треба да извршите удаљено скенирање помоћу тестссл.сх, онда можете покушати вдзвдз ТЛС скенер.

ТЛС скенирање

Можете или да градите ТЛС-Сцан из извора или преузмите бинарни фајл за Линук/ОСКС. Извлачи информације о сертификату са сервера и штампа следеће метрике у ЈСОН формату.

  • Провере верификације имена хоста
  • ТЛС провере компресије
  • Провере набрајања шифре и ТЛС верзије
  • Провере поновне употребе сесије

Подржава ТЛС, СМТП, СТАРТТЛС и МиСКЛ протоколе. Такође можете интегрисати резултујући излаз у анализатор дневника као што је Сплунк, ЕЛК.

Ципхер Сцан

Брза алатка за анализу шта ХТТПС веб локација подржава све шифре. Ципхер Сцан такође има опцију да прикаже излаз у ЈСОН формату. То је омотач и интерно користи ОпенССЛ команду.

ССЛ Аудит

ССЛ аудит је алатка отвореног кода за верификацију сертификата и подршку за протокол, шифре и оцену на основу ССЛ Лабс.

Надам се да ће вам горенаведени алати отвореног кода помоћи да интегришете континуирано скенирање са вашим постојећим анализатором дневника и олакшате решавање проблема.