A menudo necesita depurar problemas relacionados con SSL/TLS mientras trabaja como ingeniero web, webmaster o administrador del sistema.
Hay muchas herramientas en línea para el certificado SSL, prueba de vulnerabilidades SSL/TLS, pero cuando se trata de probar URL, VIP, IP basadas en intranet, no serán útiles.
Para solucionar problemas de los recursos de la intranet, necesita un software/herramientas independientes que pueda instalar en su red y realizar las pruebas necesarias.
Podría haber varios escenarios, como:
- Problemas durante la implementación del certificado SSL con el servidor web
- Quiere asegurarse de que se está utilizando el protocolo de cifrado más reciente/particular
- Post-implementación, desea verificar la configuración
- Riesgo de seguridad encontrado en el resultado de una prueba de penetración
Las siguientes herramientas serán útiles para solucionar estos problemas.
Tabla de contenido
DeepViolet
DeepViolet es una herramienta de escaneo SSL/TLS basada en java disponible en binario, o puede compilar con código fuente.
Si está buscando una alternativa de SSL Labs para usar en una red interna, entonces DeepViolet sería una buena opción. Busca lo siguiente.
- Cifrado débil expuesto
- Algoritmo de firma débil
- Estado de revocación de la certificación
- Estado de caducidad del certificado
- Visualice la cadena de confianza, una raíz autofirmada
Diagnósticos SSL
Evalúe rápidamente la fortaleza SSL de su sitio web. Diagnósticos SSL extraer protocolo SSL, suites de cifrado, heartbleed, BEAST.
No solo HTTPS, sino que también puede probar la fuerza de SSL para SMTP, SIP, POP3 y FTPS.
SSLizar
SSLizar es una biblioteca de Python y una herramienta de línea de comandos que se conecta al punto final SSL y realiza un escaneo para identificar cualquier configuración incorrecta de SSL/TLS.
Escanear a través de SSLyze es rápido ya que una prueba se distribuye a través de múltiples procesos. Si es un desarrollador o desea integrarse con su aplicación existente, tiene la opción de escribir el resultado en formato XML o JSON.
SSLyze también está disponible en Kali Linux. Si es nuevo en Kali, consulte cómo instalar Kali Linux en VMWare Fusion.
OpenSSL
No subestime OpenSSL, una de las poderosas herramientas independientes disponibles para Windows o Linux para realizar diversas tareas relacionadas con SSL, como verificación, generación de CSR, conversión de certificación, etc.
Escaneo de laboratorios SSL
¿Te encanta Qualys SSL Labs? Usted no está solo; Me encanta también.
Si está buscando una herramienta de línea de comandos para SSL Labs para pruebas automatizadas o masivas, entonces Escaneo de laboratorios SSL sería útil.
Escaneo SSL
Escaneo SSL es compatible con Windows, Linux y MAC. SSL Scan ayuda rápidamente a identificar las siguientes métricas.
- Resalte SSLv2/SSLv3/CBC/3DES/RC4/cifrados
- Informar cifrados débiles (<40 bits), nulos/anónimos
- Verificar compresión TLS, vulnerabilidad heartbleed
- y mucho más…
Si está trabajando en problemas relacionados con el cifrado, un escaneo SSL sería una herramienta útil para acelerar la solución de problemas.
API de escáner TLS kirukiru.es
Otra solución ingeniosa para los webmasters puede ser la API del escáner TLS de kirukiru.es.
Este es un método sólido para verificar el protocolo TLS, CN, SAN y otros detalles del certificado en una fracción de segundo. Y puede probar esto sin riesgos con una suscripción sin costo para hasta 3000 solicitudes por mes.
Sin embargo, el nivel premium base agrega una mayor tasa de solicitudes y 10 000 llamadas a la API por solo $5 al mes.
TestSSL
Como su nombre lo indica, TestSSL es una herramienta de línea de comandos compatible con Linux o OS. Pone a prueba todas las métricas esenciales y da el estado, ya sea bueno o malo.
Ex:
Testing protocols via sockets except SPDY+HTTP2 SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 offered TLS 1.1 offered TLS 1.2 offered (OK) SPDY/NPN h2, spdy/3.1, http/1.1 (advertised) HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered) Testing ~standard cipher categories NULL ciphers (no encryption) not offered (OK) Anonymous NULL Ciphers (no authentication) not offered (OK) Export ciphers (w/o ADH+NULL) not offered (OK) LOW: 64 Bit + DES encryption (w/o export) not offered (OK) Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK) Triple DES Ciphers (Medium) not offered (OK) High encryption (AES+Camellia, no AEAD) offered (OK) Strong encryption (AEAD ciphers) offered (OK) Testing server preferences Has server cipher order? yes (OK) Negotiated protocol TLSv1.2 Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256) Cipher order TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA AES256-SHA256 Testing vulnerabilities Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension CCS (CVE-2014-0224) not vulnerable (OK) Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK) Secure Renegotiation (CVE-2009-3555) not vulnerable (OK) Secure Client-Initiated Renegotiation not vulnerable (OK) CRIME, TLS (CVE-2012-4929) not vulnerable (OK) BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested Can be ignored for static pages or if no secrets in the page POODLE, SSL (CVE-2014-3566) not vulnerable (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK) SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK) FREAK (CVE-2015-0204) not vulnerable (OK) DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK) make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2 LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Como puede ver, cubre una gran cantidad de vulnerabilidades, preferencias de cifrado, protocolos, etc. TestSSL.sh también está disponible en un imagen acoplable.
Si necesita hacer un escaneo remoto usando testssl.sh, puede probar kirukiru.es TLS Scanner.
Escaneo TLS
Puedes construir Escaneo TLS desde la fuente o descarga el binario para Linux/OSX. Extrae la información del certificado del servidor e imprime las siguientes métricas en formato JSON.
- Comprobaciones de verificación de nombre de host
- Comprobaciones de compresión TLS
- Comprobaciones de enumeración de versiones de cifrado y TLS
- Comprobaciones de reutilización de sesión
Admite los protocolos TLS, SMTP, STARTTLS y MySQL. También puede integrar la salida resultante en un analizador de registros como Splunk, ELK.
Escaneo de cifrado
Una herramienta rápida para analizar lo que el sitio web HTTPS admite todos los cifrados. Escaneo de cifrado también tiene una opción para mostrar la salida en formato JSON. Es contenedor e internamente usando el comando OpenSSL.
Auditoría SSL
Auditoría SSL es una herramienta de código abierto para verificar el certificado y admitir el protocolo, los cifrados y el grado según SSL Labs.
Espero que las herramientas de código abierto anteriores lo ayuden a integrar el escaneo continuo con su analizador de registro existente y faciliten la resolución de problemas.