11 GRATIS SSL/TLS-felsökningsverktyg för webbansvariga

av

Du behöver ofta felsöka SSL/TLS-relaterade problem medan du arbetar som webbingenjör, webbmaster eller systemadministratör.

Det finns gott om onlineverktyg för SSL-certifikat, Testa SSL/TLS-sårbarheter, men när det kommer till att testa intranätbaserad URL, VIP, IP, kommer de inte att vara till hjälp.

För att felsöka intranätresurser behöver du en fristående programvara/verktyg som du kan installera i ditt nätverk och utföra ett nödvändigt test.

Det kan finnas olika scenarier, som:

  • Har problem under implementering av SSL-certifikat med webbserver
  • Vill du säkerställa senaste/särskilda chiffer, protokoll används
  • Efter implementering, vill verifiera konfigurationen
  • Säkerhetsrisk hittades i ett penetrationstestresultat

Följande verktyg kommer att vara praktiska för att felsöka sådana problem.

DeepViolet

DeepViolet är ett javabaserat SSL/TLS-skanningsverktyg tillgängligt i binärt format, eller så kan du kompilera med källkod.

Om du letar efter ett alternativ av SSL Labs som ska användas på ett internt nätverk, då skulle DeepViolet vara ett bra val. Den söker efter följande.

  • Svagt chiffer exponerat
  • Svag signeringsalgoritm
  • Status för återkallelse av certifiering
  • Certifikatets utgångsstatus
  • Visualisera trust-chain, en självsignerad rot

SSL-diagnos

Utvärdera snabbt SSL-styrkan på din webbplats. SSL-diagnos extrahera SSL-protokoll, chiffersviter, heartbleed, BEAST.

Inte bara HTTPS, utan du kan testa SSL-styrkan för SMTP, SIP, POP3 och FTPS.

SSLyze

SSLyze är ett Python-bibliotek och ett kommandoradsverktyg som ansluter till SSL-slutpunkten och utför en skanning för att identifiera eventuella SSL/TLS-felkonfigurationer.

Skanna genom SSLyze går snabbt eftersom ett test distribueras genom flera processer. Om du är en utvecklare eller vill integrera med din befintliga applikation, har du möjlighet att skriva resultatet i XML- eller JSON-format.

SSLyze är också tillgängligt i Kali Linux. Om du är ny på Kali, kolla in hur du installerar Kali Linux på VMWare Fusion.

OpenSSL

Underskatta inte OpenSSL, ett av de kraftfulla fristående verktygen tillgängliga för Windows eller Linux för att utföra olika SSL-relaterade uppgifter som verifiering, CSR-generering, certifieringskonvertering, etc.

SSL Labs Scan

Gillar du Qualys SSL Labs? Du är inte ensam; JAg älskar det också.

Om du letar efter ett kommandoradsverktyg för SSL Labs för automatiserad eller bulktestning, då SSL Labs Scan skulle vara användbart.

SSL-skanning

SSL-skanning är kompatibel med Windows, Linux och MAC. SSL Scan hjälper snabbt att identifiera följande mätvärden.

  • Markera SSLv2/SSLv3/CBC/3DES/RC4/ chiffer
  • Rapportera svaga (<40bit), noll/anonyma chiffer
  • Verifiera TLS-komprimering, hjärtblodsårbarhet
  • och mycket mer…

Om du arbetar med chifferrelaterade problem skulle en SSL-skanning vara ett användbart verktyg för att snabba upp felsökningen.

adminvista.com TLS Scanner API

En annan snygg lösning för webbansvariga kan vara adminvista.com TLS Scanner API.

Detta är en robust metod för att kontrollera TLS-protokollet, CN, SAN och andra certifikatdetaljer på en bråkdel av en sekund. Och du kan prova detta utan risk med ett kostnadsfritt abonnemang för upp till 3000 förfrågningar per månad.

Baspremiumnivån lägger dock till en högre förfrågningsfrekvens och 10K API-anrop för bara $5 i månaden.

TestSSL

Som namnet antyder, TestSSL är ett kommandoradsverktyg som är kompatibelt med Linux eller OS. Den testar alla viktiga mätvärden och ger status, oavsett om den är bra eller dålig.

Ex:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Som du kan se täcker den ett stort antal sårbarheter, chifferpreferenser, protokoll etc. TestSSL.sh finns också i en docker-bild.

Om du behöver göra en fjärrskanning med testssl.sh kan du prova adminvista.com TLS Scanner.

TLS-skanning

Du kan antingen bygga TLS-Scan från källan eller ladda ner binär för Linux/OSX. Den extraherar certifikatinformation från servern och skriver ut följande mätvärden i JSON-format.

  • Verifiering av värdnamn
  • TLS-kompressionskontroller
  • Kontroll av chiffer- och TLS-versionsuppräkning
  • Kontroller för återanvändning av sessioner

Den stöder TLS-, SMTP-, STARTTLS- och MySQL-protokoll. Du kan också integrera den resulterande utmatningen i en loganalysator som Splunk, ELK.

Chifferskanning

Ett snabbt verktyg för att analysera vad HTTPS-webbplatsen stöder alla chiffer. Chifferskanning har också en möjlighet att visa utdata i JSON-format. Det är omslag och internt med OpenSSL-kommandot.

SSL-revision

SSL revision är ett verktyg med öppen källkod för att verifiera certifikatet och stödja protokoll, chiffer och betyg baserat på SSL Labs.

Jag hoppas att ovanstående verktyg med öppen källkod hjälper dig att integrera den kontinuerliga skanningen med din befintliga logganalysator och underlätta felsökningen.