11 เครื่องมือแก้ปัญหา SSL/TLS ฟรีสำหรับผู้ดูแลเว็บ

คุณมักจะต้องดีบักปัญหาที่เกี่ยวข้องกับ SSL/TLS ในขณะที่ทำงานเป็นวิศวกรเว็บ เว็บมาสเตอร์ หรือผู้ดูแลระบบ

มีเครื่องมือออนไลน์มากมายสำหรับใบรับรอง SSL การทดสอบช่องโหว่ของ SSL/TLS แต่เมื่อต้องทดสอบ URL แบบอินทราเน็ต, VIP, IP ก็ไม่มีประโยชน์อะไร

ในการแก้ไขปัญหาทรัพยากรอินทราเน็ต คุณต้องมีซอฟต์แวร์/เครื่องมือแบบสแตนด์อโลนที่คุณสามารถติดตั้งในเครือข่ายของคุณและทำการทดสอบที่จำเป็น

อาจมีสถานการณ์ต่าง ๆ เช่น:

  • มีปัญหาระหว่างการใช้งานใบรับรอง SSL กับเว็บเซิร์ฟเวอร์
  • ต้องการให้แน่ใจว่ารหัสล่าสุด/เฉพาะ โปรโตคอลกำลังถูกใช้อยู่
  • หลังการใช้งาน ต้องการตรวจสอบการกำหนดค่า
  • ความเสี่ยงด้านความปลอดภัยที่พบในผลการทดสอบการเจาะระบบ

เครื่องมือต่อไปนี้จะมีประโยชน์ในการแก้ไขปัญหาดังกล่าว

DeepViolet

DeepViolet เป็นเครื่องมือสแกน SSL/TLS ที่ใช้จาวาในรูปแบบไบนารี หรือคุณสามารถคอมไพล์ด้วยซอร์สโค้ดได้

หากคุณกำลังมองหาทางเลือกอื่นของ SSL Labs ที่จะใช้บนเครือข่ายภายใน DeepViolet จะเป็นตัวเลือกที่ดี มันสแกนหาสิ่งต่อไปนี้

  • เปิดเผยรหัสที่อ่อนแอ
  • อัลกอริทึมการลงนามที่อ่อนแอ
  • สถานะการเพิกถอนใบรับรอง
  • สถานะการหมดอายุใบรับรอง
  • เห็นภาพ trust-chain รูทที่ลงนามเอง

การวินิจฉัย SSL

ประเมินความแรงของ SSL ของเว็บไซต์ของคุณอย่างรวดเร็ว การวินิจฉัย SSL แยกโปรโตคอล SSL, ชุดการเข้ารหัส, heartbleed, BEAST

ไม่ใช่แค่ HTTPS แต่คุณสามารถทดสอบความแรงของ SSL สำหรับ SMTP, SIP, POP3 และ FTPS ได้

SSLyze

SSLyze เป็นไลบรารี Python และเครื่องมือบรรทัดคำสั่งที่เชื่อมต่อกับจุดปลาย SSL และทำการสแกนเพื่อระบุการกำหนดค่าที่ผิดพลาดของ SSL/TLS

การสแกนผ่าน SSLyze นั้นรวดเร็วเนื่องจากมีการแจกจ่ายการทดสอบผ่านหลายกระบวนการ หากคุณเป็นนักพัฒนาซอฟต์แวร์หรือต้องการผสานรวมกับแอปพลิเคชันที่มีอยู่ คุณมีตัวเลือกในการเขียนผลลัพธ์ในรูปแบบ XML หรือ JSON

SSLyze ยังมีอยู่ใน Kali Linux หากคุณยังใหม่กับ Kali ลองดูวิธีการติดตั้ง Kali Linux บน VMWare Fusion

OpenSSL

อย่าประมาท OpenSSL ซึ่งเป็นหนึ่งในเครื่องมือแบบสแตนด์อโลนที่มีประสิทธิภาพสำหรับ Windows หรือ Linux เพื่อทำงานที่เกี่ยวข้องกับ SSL ต่างๆ เช่น การตรวจสอบ การสร้าง CSR การแปลงใบรับรอง ฯลฯ

SSL Labs Scan

รัก Qualys SSL Labs หรือไม่ คุณไม่ได้อยู่คนเดียว ฉันรักมันเหมือนกัน.

หากคุณกำลังมองหาเครื่องมือบรรทัดคำสั่งสำหรับ SSL Labs สำหรับการทดสอบอัตโนมัติหรือการทดสอบจำนวนมาก SSL Labs Scan จะเป็นประโยชน์

  วิธีดูข้อมูล EXIF ​​​​ของภาพ

SSL Scan

SSL Scan เข้ากันได้กับ Windows, Linux และ MAC การสแกน SSL ช่วยระบุเมตริกต่อไปนี้อย่างรวดเร็ว

  • เน้น SSLv2/SSLv3/CBC/3DES/RC4/ ciphers
  • รายงานที่อ่อนแอ (<40 บิต), null/การเข้ารหัสที่ไม่ระบุชื่อ
  • ตรวจสอบการบีบอัด TLS, ช่องโหว่ Heartbleed
  • และอีกมากมาย…

หากคุณกำลังทำงานกับปัญหาที่เกี่ยวข้องกับการเข้ารหัส การสแกน SSL จะเป็นเครื่องมือที่มีประโยชน์ในการติดตามการแก้ไขปัญหาอย่างรวดเร็ว

admintrick.com TLS Scanner API

โซลูชันที่ดีอีกวิธีหนึ่งสำหรับผู้ดูแลเว็บคือ admintrick.com TLS Scanner API

นี่เป็นวิธีที่มีประสิทธิภาพในการตรวจสอบโปรโตคอล TLS, CN, SAN และรายละเอียดใบรับรองอื่นๆ ในเสี้ยววินาที และคุณสามารถทดลองใช้โดยไม่มีความเสี่ยงด้วยการสมัครรับข้อมูลฟรีสำหรับคำขอสูงสุด 3000 รายการต่อเดือน

อย่างไรก็ตาม ระดับพรีเมียมพื้นฐานเพิ่มอัตราคำขอที่มากขึ้น และการเรียก API 10K ในราคาเพียง $5 ต่อเดือน

TestSSL

ตามชื่อบ่งบอกว่า TestSSL เป็นเครื่องมือบรรทัดคำสั่งที่เข้ากันได้กับ Linux หรือ OS โดยจะทดสอบเมตริกที่จำเป็นทั้งหมดและให้สถานะไม่ว่าจะดีหรือไม่ดี

อดีต:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

อย่างที่คุณเห็น มันครอบคลุมช่องโหว่จำนวนมาก การตั้งค่าการเข้ารหัส โปรโตคอล ฯลฯ TestSSL.sh ยังมีอยู่ใน ภาพนักเทียบท่า.

  10 แพลตฟอร์มบริการตั้งชื่อบล็อคเชน (BNS) เพื่อรับชื่อโดเมนบล็อคเชนของคุณ

หากคุณต้องการทำการสแกนระยะไกลโดยใช้ testsl.sh คุณสามารถลองใช้ admintrick.com TLS Scanner ได้

TLS Scan

คุณสามารถสร้าง TLS-สแกน จากแหล่งที่มาหรือดาวน์โหลดไบนารีสำหรับ Linux/OSX โดยจะดึงข้อมูลใบรับรองจากเซิร์ฟเวอร์และพิมพ์เมทริกต่อไปนี้ในรูปแบบ JSON

  • การตรวจสอบยืนยันชื่อโฮสต์
  • การตรวจสอบการบีบอัด TLS
  • การตรวจสอบการแจงนับเวอร์ชัน Cipher และ TLS
  • การตรวจสอบการใช้ซ้ำของเซสชัน

รองรับโปรโตคอล TLS, SMTP, STARTTLS และ MySQL คุณยังสามารถรวมผลลัพธ์ที่ได้ในตัววิเคราะห์บันทึก เช่น Splunk, ELK

สแกนรหัส

เครื่องมือด่วนในการวิเคราะห์ว่าเว็บไซต์ HTTPS รองรับการเข้ารหัสทั้งหมดใดบ้าง สแกนรหัส ยังมีตัวเลือกในการแสดงผลลัพธ์ในรูปแบบ JSON เป็น wrapper และภายในโดยใช้คำสั่ง OpenSSL

การตรวจสอบ SSL

การตรวจสอบ SSL เป็นเครื่องมือโอเพนซอร์สเพื่อตรวจสอบใบรับรองและสนับสนุนโปรโตคอล รหัสลับ และเกรดตาม SSL Labs

ฉันหวังว่าเครื่องมือโอเพนซอร์ซข้างต้นจะช่วยให้คุณรวมการสแกนอย่างต่อเนื่องกับตัววิเคราะห์บันทึกที่มีอยู่และทำให้การแก้ไขปัญหาง่ายขึ้น

เรื่องล่าสุด

x