En tant qu’ingénieur web, webmaster ou administrateur système, vous êtes fréquemment confronté à la nécessité de déboguer des problèmes liés à SSL/TLS.
Bien que de nombreux outils en ligne permettent de tester les certificats SSL et les vulnérabilités SSL/TLS, ils s’avèrent inefficaces pour les tests d’URL, de VIP ou d’IP basés sur un intranet.
Pour le dépannage des ressources intranet, vous avez besoin d’outils ou de logiciels autonomes que vous pouvez installer sur votre réseau afin d’effectuer les tests requis.
Les scénarios possibles sont variés, notamment :
- Des problèmes lors de l’implémentation d’un certificat SSL avec le serveur web.
- Le besoin de s’assurer que le chiffrement le plus récent ou un chiffrement spécifique est utilisé.
- Une vérification de configuration souhaitée après l’implémentation.
- La détection d’un risque de sécurité lors d’un test d’intrusion.
Les outils suivants seront très utiles pour résoudre ces problèmes.
DeepViolet
DeepViolet est un outil d’analyse SSL/TLS basé sur Java, disponible sous forme de binaire ou compilable à partir du code source.
Si vous recherchez une alternative à SSL Labs pour une utilisation sur un réseau interne, DeepViolet constitue un excellent choix. Il analyse les éléments suivants :
- La présence de chiffrements faibles.
- L’utilisation d’algorithmes de signature faibles.
- L’état de révocation des certificats.
- L’état d’expiration des certificats.
- La visualisation de la chaîne de confiance, y compris les racines auto-signées.
Diagnostics SSL
Évaluez rapidement la robustesse SSL de votre site web. Diagnostics SSL extrait le protocole SSL, les suites de chiffrement, et vérifie la présence des vulnérabilités Heartbleed et BEAST.
Au-delà de HTTPS, vous pouvez également tester la robustesse SSL pour les protocoles SMTP, SIP, POP3 et FTPS.
SSLyze
SSLyze est une bibliothèque Python et un outil en ligne de commande qui se connecte à un point de terminaison SSL et effectue une analyse pour identifier toute mauvaise configuration SSL/TLS.
L’analyse avec SSLyze est rapide car les tests sont distribués sur plusieurs processus. Si vous êtes développeur ou souhaitez intégrer cet outil dans une application existante, vous avez la possibilité d’exporter les résultats aux formats XML ou JSON.
SSLyze est également inclus dans Kali Linux. Si vous débutez avec Kali, vous pouvez trouver des informations sur son installation sur VMWare Fusion.
OpenSSL
Ne sous-estimez pas la puissance d’OpenSSL, un outil autonome disponible sous Windows ou Linux pour effectuer diverses tâches liées à SSL, telles que la vérification, la génération de CSR, la conversion de certificats, etc.
Analyse SSL Labs
Appréciez-vous Qualys SSL Labs ? Vous n’êtes pas le seul ; c’est un outil très apprécié.
Si vous recherchez un outil en ligne de commande pour SSL Labs pour automatiser des tests ou effectuer des analyses en masse, alors l’outil Analyse des laboratoires SSL sera très utile.
Analyse SSL
Analyse SSL est compatible avec Windows, Linux et macOS. Il permet d’identifier rapidement les métriques suivantes :
- Mise en évidence des chiffrements SSLv2/SSLv3/CBC/3DES/RC4.
- Identification des chiffrements faibles (moins de 40 bits), nuls ou anonymes.
- Vérification de la compression TLS et de la vulnérabilité Heartbleed.
- Et bien d’autres vérifications…
Si vous travaillez sur des problèmes de chiffrement, l’analyse SSL sera un outil utile pour accélérer le dépannage.
API du scanner TLS toptips.fr
Une autre option intéressante pour les webmasters est l’API du scanner TLS de toptips.fr.
C’est une méthode robuste pour vérifier le protocole TLS, le CN, le SAN et d’autres détails du certificat en un court instant. De plus, vous pouvez l’essayer sans risque avec un abonnement gratuit jusqu’à 3000 requêtes par mois.
Le niveau premium de base offre un taux de requêtes plus élevé et 10 000 appels d’API pour seulement 5 $ par mois.
TestSSL
Comme son nom l’indique, TestSSL est un outil en ligne de commande compatible avec Linux et macOS. Il teste toutes les métriques essentielles et donne un statut, qu’il soit bon ou mauvais.
Exemple:
Testing protocols via sockets except SPDY+HTTP2 SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 offered TLS 1.1 offered TLS 1.2 offered (OK) SPDY/NPN h2, spdy/3.1, http/1.1 (advertised) HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered) Testing ~standard cipher categories NULL ciphers (no encryption) not offered (OK) Anonymous NULL Ciphers (no authentication) not offered (OK) Export ciphers (w/o ADH+NULL) not offered (OK) LOW: 64 Bit + DES encryption (w/o export) not offered (OK) Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK) Triple DES Ciphers (Medium) not offered (OK) High encryption (AES+Camellia, no AEAD) offered (OK) Strong encryption (AEAD ciphers) offered (OK) Testing server preferences Has server cipher order? yes (OK) Negotiated protocol TLSv1.2 Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256) Cipher order TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA AES256-SHA256 Testing vulnerabilities Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension CCS (CVE-2014-0224) not vulnerable (OK) Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK) Secure Renegotiation (CVE-2009-3555) not vulnerable (OK) Secure Client-Initiated Renegotiation not vulnerable (OK) CRIME, TLS (CVE-2012-4929) not vulnerable (OK) BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested Can be ignored for static pages or if no secrets in the page POODLE, SSL (CVE-2014-3566) not vulnerable (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK) SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK) FREAK (CVE-2015-0204) not vulnerable (OK) DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK) make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2 LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Comme vous pouvez le constater, il couvre un large éventail de vulnérabilités, de préférences de chiffrement, de protocoles, etc. TestSSL.sh est également disponible dans une image de conteneur.
Si vous avez besoin de réaliser une analyse à distance avec testssl.sh, vous pouvez également utiliser le scanner TLS de toptips.fr.
Analyse TLS
Vous pouvez construire Analyse TLS à partir de la source, ou télécharger le binaire pour Linux/macOS. Il extrait les informations du certificat du serveur et affiche les métriques suivantes au format JSON :
- Vérifications du nom d’hôte.
- Vérifications de la compression TLS.
- Énumération des versions de chiffrement et de TLS.
- Vérifications de la réutilisation de session.
Il prend en charge les protocoles TLS, SMTP, STARTTLS et MySQL. De plus, vous pouvez intégrer les résultats obtenus dans un analyseur de logs tel que Splunk ou ELK.
Analyse de chiffrement
Un outil rapide pour analyser les chiffrements supportés par un site web HTTPS. Analyse de chiffrement propose également une option pour afficher les résultats au format JSON. Il s’agit d’un wrapper qui utilise en interne la commande OpenSSL.
Audit SSL
Audit SSL est un outil open source qui permet de vérifier le certificat, les protocoles et les chiffrements supportés, en se basant sur les notes de SSL Labs.
En espérant que ces outils open source vous aideront à intégrer une analyse continue à votre outil d’analyse de logs actuel et à faciliter le dépannage.