10 herramientas de resolución de problemas SSL / TLS GRATUITAS para Webmaster

A menudo necesitas depurar problemas relacionados con SSL / TLS mientras trabaja como ingeniero web, webmaster o administrador del sistema.


Hay un montón de herramientas en línea para el certificado SSL, Prueba de vulnerabilidades SSL / TLS, pero cuando se trata de probar URL basadas en intranet, VIP, IP, entonces no serán útiles.

Para solucionar los problemas de los recursos de la intranet, necesita un software / herramientas independientes que pueda instalar en su red y realizar una prueba necesaria.

Podría haber varios escenarios, como:

  • Problemas durante la implementación del certificado SSL con el servidor web
  • Quiere asegurar el cifrado más reciente / particular, se está utilizando el protocolo
  • Después de la implementación, desea verificar la configuración
  • Riesgo de seguridad encontrado en el resultado de una prueba de penetración

Las siguientes herramientas serán útiles para solucionar estos problemas..

DeepViolet

DeepViolet es una herramienta de escaneo SSL / TLS basada en Java disponible en binario, o puede compilar con código fuente.

Si está buscando una alternativa de SSL Labs para usar en una red interna, entonces DeepViolet sería una buena elección. Analiza lo siguiente.

  • Cifrado débil expuesto
  • Algoritmo de firma débil
  • Estado de revocación de certificación
  • Estado de vencimiento del certificado
  • Visualice la cadena de confianza, una raíz autofirmada

SSL Diagnos

Evalúe rápidamente la fortaleza SSL de su sitio web. SSL Diagnos extraer protocolo SSL, conjuntos de cifrado, heartbleed, BEAST.

No solo HTTPS, sino que también puede probar la fortaleza de SSL para SMTP, SIP, POP3 y FTPS.

SSLyze

SSLyze es una biblioteca de Python y una herramienta de línea de comandos que se conecta al punto final SSL y realiza un escaneo para identificar cualquier configuración incorrecta SSL / TLS.

Escanear a través de SSLyze es rápido ya que una prueba se distribuye a través de múltiples procesos. Si es desarrollador o le gustaría integrarse con su aplicación existente, tiene la opción de escribir el resultado en formato XML o JSON.

SSLyze también está disponible en Kali Linux.

OpenSSL

No subestimes OpenSSL, una de las potentes herramientas independientes disponibles para Windows o Linux para realizar diversas tareas relacionadas con SSL, como verificación, generación de CSR, conversión de certificación, etc..

SSL Labs Scan

Love Qualys SSL Labs? No estas solo; me encanta también.

Si está buscando una herramienta de línea de comandos para SSL Labs para pruebas automatizadas o masivas, entonces SSL Labs Scan sería útil.

Escaneo SSL

Escaneo SSL es compatible con Windows, Linux y MAC. El escaneo SSL ayuda rápidamente a identificar las siguientes métricas.

  • Resalte SSLv2 / SSLv3 / CBC / 3DES / RC4 / cifrados
  • Informe débil (<40 bits), cifras nulas / anónimas
  • Verifique la compresión TLS, vulnerabilidad heartbleed
  • y mucho más…

Si está trabajando en problemas relacionados con el cifrado, un escaneo SSL sería una herramienta útil para acelerar la resolución de problemas.

TestSSL

Como su nombre indica, TestSSL es una herramienta de línea de comandos compatible con Linux u OS. Prueba todas las métricas esenciales y proporciona el estado, ya sea bueno o malo..

Ex:

Probar protocolos a través de sockets excepto SPDY + HTTP2

SSLv2 no ofrecido (OK)
SSLv3 no ofrecido (OK)
TLS 1 ofrecido
TLS 1.1 ofrecido
TLS 1.2 ofrecido (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (anunciado)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (ofrecido)

Prueba ~ categorías de cifrado estándar

Cifrados NULOS (sin cifrado) no ofrecidos (OK)
No se ofrecen cifrados anónimos anónimos (sin autenticación) (OK)
Los cifrados de exportación (sin ADH + NULL) no se ofrecen (OK)
BAJO: 64 Bit + cifrado DES (sin exportación) no ofrecido (OK)
No se ofrecen cifrados débiles de 128 bits (SEED, IDEA, RC [2,4]) (OK)
Triple DES Ciphers (Medio) no ofrecido (OK)
Alto cifrado (AES + Camellia, sin AEAD) ofrecido (OK)
Cifrado fuerte (cifrados AEAD) ofrecido (OK)

Probar las preferencias del servidor

¿Tiene orden de cifrado del servidor? Sí OK)
Protocolo negociado TLSv1.2
Cifrado negociado ECDHE-ECDSA-CHACHA20-POLY1305-OLD, ECDH de 256 bits (P-256)
Orden de cifrado
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Prueba de vulnerabilidades

Heartbleed (CVE-2014-0160) no vulnerable (OK), sin extensión de heartbeat
CCS (CVE-2014-0224) no vulnerable (OK)
Ticketbleed (CVE-2016-9244), experimento. no vulnerable (OK)
Renegociación segura (CVE-2009-3555) no vulnerable (OK)
La renegociación segura iniciada por el cliente no es vulnerable (OK)
DELITO, TLS (CVE-2012-4929) no vulnerable (OK)
BREACH (CVE-2013-3587) potencialmente NO está bien, usa compresión HTTP gzip. – solo suministrado "/ /" probado
Se puede ignorar para páginas estáticas o si no hay secretos en la página
POODLE, SSL (CVE-2014-3566) no vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Se admite la prevención de ataques de degradación (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) no vulnerable (OK)
FREAK (CVE-2015-0204) no vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) no vulnerable en este host y puerto (OK)
asegúrese de no utilizar este certificado en otro lugar con servicios habilitados para SSLv2
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 podría ayudarlo a averiguarlo
LOGJAM (CVE-2015-4000), experimental no vulnerable (OK): sin cifrado DH EXPORT, no se detectó clave DH
BESTIA (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE, pero también admite protocolos más altos (posible mitigación): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, utiliza cifras de encadenamiento de bloques de cifrado (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) no se detectaron cifrados RC4 (OK)

Como puede ver, cubre una gran cantidad de vulnerabilidades, preferencias de cifrado, protocolos, etc. TestSSL.sh también está disponible en un imagen del acoplador.

Si necesita hacer un escaneo remoto utilizando testssl.sh, puede intentar Escáner Geekflare TLS.

Escaneo TLS

Puedes construir TLS-Scan desde la fuente o binario de descarga para Linux / OSX. Extrae información del certificado del servidor e imprime las siguientes métricas en formato JSON.

  • Verificaciones de verificación de nombre de host
  • Comprobaciones de compresión TLS
  • Comprobaciones de enumeración de versiones de cifrado y TLS
  • Comprobaciones de reutilización de sesión

Es compatible con los protocolos TLS, SMTP, STARTTLS y MySQL. También puede integrar la salida resultante en un analizador de registros como Splunk, ELK.

Escaneo de cifrado

Una herramienta rápida para analizar lo que el sitio web HTTPS admite todos los cifrados. Escaneo de cifrado También tiene una opción para mostrar la salida en formato JSON. Es un contenedor y usa internamente el comando OpenSSL.

Auditoría SSL

Auditoría SSL es una herramienta de código abierto para verificar el certificado y admitir el protocolo, los cifrados y la calificación basada en SSL Labs.

Espero que las herramientas de código abierto anteriores lo ayuden a integrar el escaneo continuo con su analizador de registros existente y facilitar la solución de problemas.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map