11 outils de dépannage SSL/TLS GRATUITS pour les webmasters

par
Tweetez
Partagez
Enregistrer
Partagez
Partagez
0 Partages

Vous devez souvent déboguer des problèmes liés à SSL/TLS lorsque vous travaillez en tant qu’ingénieur Web, webmaster ou administrateur système.

Il existe de nombreux outils en ligne pour le certificat SSL, le test des vulnérabilités SSL/TLS, mais lorsqu’il s’agit de tester l’URL, le VIP, l’IP basés sur l’intranet, ils ne seront pas utiles.

Pour dépanner les ressources intranet, vous avez besoin d’un logiciel/d’outils autonomes que vous pouvez installer sur votre réseau et effectuer un test nécessaire.

Il peut y avoir différents scénarios, comme :

  • Problèmes lors de la mise en œuvre du certificat SSL avec le serveur Web
  • Vous voulez vous assurer que le chiffrement le plus récent / particulier est utilisé
  • Post-implémentation, souhaite vérifier la configuration
  • Risque de sécurité détecté dans un résultat de test d’intrusion

Les outils suivants seront utiles pour résoudre ces problèmes.

DeepViolet

DeepViolet est un outil d’analyse SSL/TLS basé sur Java disponible en binaire, ou vous pouvez compiler avec le code source.

Si vous recherchez une alternative à SSL Labs à utiliser sur un réseau interne, alors DeepViolet serait un bon choix. Il analyse les éléments suivants.

  • Chiffrement faible exposé
  • Algorithme de signature faible
  • État de révocation de la certification
  • État d’expiration du certificat
  • Visualisez la chaîne de confiance, une racine auto-signée

Diagnostics SSL

Évaluez rapidement la force SSL de votre site Web. Diagnostics SSL extraire le protocole SSL, suites de chiffrement, heartbleed, BEAST.

Pas seulement HTTPS, mais vous pouvez tester la force SSL pour SMTP, SIP, POP3 et FTPS.

SSLyze

SSLyze est une bibliothèque Python et un outil de ligne de commande qui se connecte au point de terminaison SSL et effectue une analyse pour identifier toute mauvaise configuration SSL/TLS.

L’analyse via SSLyze est rapide car un test est distribué via plusieurs processus. Si vous êtes développeur ou si vous souhaitez intégrer votre application existante, vous avez la possibilité d’écrire le résultat au format XML ou JSON.

SSLyze est également disponible dans Kali Linux. Si vous êtes nouveau sur Kali, découvrez comment installer Kali Linux sur VMWare Fusion.

OpenSSL

Ne sous-estimez pas OpenSSL, l’un des puissants outils autonomes disponibles pour Windows ou Linux pour effectuer diverses tâches liées à SSL telles que la vérification, la génération de CSR, la conversion de certification, etc.

Analyse des laboratoires SSL

Vous aimez Qualys SSL Labs ? Tu n’es pas seul; Je l’aime aussi.

Si vous recherchez un outil de ligne de commande pour SSL Labs pour des tests automatisés ou en masse, alors Analyse des laboratoires SSL serait utile.

Analyse SSL

Analyse SSL est compatible avec Windows, Linux et MAC. SSL Scan permet d’identifier rapidement les métriques suivantes.

  • Mettre en surbrillance SSLv2/SSLv3/CBC/3DES/RC4/ chiffrements
  • Signaler des chiffrements faibles (<40 bits), nuls/anonymes
  • Vérifier la compression TLS, vulnérabilité heartbleed
  • et beaucoup plus…

Si vous travaillez sur des problèmes liés au chiffrement, une analyse SSL serait un outil utile pour accélérer le dépannage.

API du scanner TLS toptips.fr

Une autre solution astucieuse pour les webmasters peut être l’API toptips.fr TLS Scanner.

Il s’agit d’une méthode robuste pour vérifier le protocole TLS, le CN, le SAN et d’autres détails du certificat en une fraction de seconde. Et vous pouvez essayer cela sans risque avec un abonnement gratuit jusqu’à 3000 requêtes par mois.

Cependant, le niveau premium de base ajoute un taux de demande plus élevé et des appels d’API 10K pour seulement 5 $ par mois.

TestSSL

Comme son nom l’indique, TestSSL est un outil en ligne de commande compatible avec Linux ou OS. Il teste toutes les métriques essentielles et donne un statut, qu’il soit bon ou mauvais.

Ex:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Comme vous pouvez le voir, il couvre un grand nombre de vulnérabilités, de préférences de chiffrement, de protocoles, etc. TestSSL.sh est également disponible dans un image de menu fixe.

Si vous devez effectuer une analyse à distance à l’aide de testssl.sh, vous pouvez essayer toptips.fr TLS Scanner.

Analyse TLS

Vous pouvez soit construire Analyse TLS depuis la source ou téléchargez le binaire pour Linux/OSX. Il extrait les informations de certificat du serveur et imprime les métriques suivantes au format JSON.

  • Contrôles de vérification du nom d’hôte
  • Contrôles de compression TLS
  • Vérifications de l’énumération des versions de chiffrement et TLS
  • Contrôles de réutilisation de session

Il prend en charge les protocoles TLS, SMTP, STARTTLS et MySQL. Vous pouvez également intégrer la sortie résultante dans un analyseur de journaux comme Splunk, ELK.

Balayage chiffré

Un outil rapide pour analyser ce que le site Web HTTPS prend en charge tous les chiffrements. Balayage chiffré a également une option pour afficher la sortie au format JSON. C’est wrapper et en interne en utilisant la commande OpenSSL.

Audit SSL

Audit SSL est un outil open source pour vérifier le certificat et prendre en charge le protocole, les chiffrements et la note basés sur SSL Labs.

J’espère que les outils open source ci-dessus vous aideront à intégrer l’analyse continue à votre analyseur de journaux existant et à faciliter le dépannage.