11个免费的SSL/TLS故障排除工具,供网站管理员使用

作者姚伟斌

作为网络工程师、网站管理员或系统管理员,在工作中经常需要调试与SSL/TLS相关的问题。

有很多在线工具用于测试公网URL、VIP和IP之类的问题,但是对于测试内网资源,它们并不起作用。

为了解决内网资源的问题,您需要一个独立的软件/工具,可以在您的网络中安装并进行必要的测试。

可能会有各种不同的情况,例如:

  • 在Web服务器上实施SSL证书时出现问题
  • 想要确保使用最新/特定的密码套件和协议
  • 在实施后,希望验证配置
  • 在渗透测试结果中发现了安全风险

以下工具将有助于解决此类问题。

DeepViolet

DeepViolet 是一个基于Java的SSL/TLS扫描工具,可提供二进制文件,或者您可以使用源代码进行编译。

如果您正在寻找SSL Labs的替代方案,用于内部网络,则DeepViolet是一个不错的选择。它会扫描以下内容。

  • 暴露的弱密码套件
  • 弱签名算法
  • 证书吊销状态
  • Certificate expiry状态
  • 可视化信任链、自签名根证书

SSL Diagnos

快速评估您网站的SSL强度。它会提取SSL协议、密码套件、heartbleed及BEAST。

不仅可以测试HTTPS,还可以测试SMTP、SIP、POP3和FTPS的SSL强度。

SSLyze

SSLyze 是一个Python库和命令行工具,它可以连接到SSL终端并进行扫描,以识别任何SSL/TLS配置错误。

通过SSLyze进行扫描非常快速,因为测试是通过多个进程进行分布式处理的。如果您是开发人员,或者希望与现有应用程序集成,那么您可以选择将结果编写为XML或JSON格式。

SSLyze也适用于Kali Linux。如果您是Kali的新用户,请查看有关在VMWare Fusion上的使用指南。

OpenSSL

不要低估OpenSSL,它是Windows或Linux上可用的功能强大的独立工具之一,可用于执行各种与SSL相关的任务,如验证、CSR生成、certification conversion等。

SSL Labs Scan

喜欢Qualys SSL Labs吗?您并不孤单,我也喜欢。

如果您正在寻找用于自动化或批量测试的SSL Labs的命令行工具,则SSL Labs Scan将非常有用。

SSL Scan

SSL Scan 与Windows、Linux和MAC兼容。SSL Scan可以快速帮助识别以下指标。

  • 突出显示SSLv2/SSLv3/CBC/3DES/RC4/密码套件
  • 报告弱(<40位)、空/匿名密码套件
  • 验证TLS压缩、心脏出血漏洞
  • 等等…

如果您正在处理与密码套件相关的问题,那么SSL Scan将是一款有用的工具,可以加速故障排除。

Geekflare TLS Scanner API

对于网站管理员来说,另一个方便的解决方案可以是Geekflare TLS Scanner API

这是一种快速检查TLS协议、CN、SAN和其他证书详细信息的强大方法。您可以免费订阅,每月最多可进行3000次请求,并且可以零风险地尝试。

然而,基本高级套餐可以增加更高的请求速率和10K个API调用,仅需每月5美元。

TestSSL

顾名思义,TestSSL 是一个与Linux或OS兼容的命令行工具。它会测试所有必要的指标,并给出状态,无论是好还是坏。

例如:

通过套接字测试协议,除了SPDY + HTTP2

不提供SSLv2(OK)
不提供SSLv3(OK)
提供TLS 1
提供TLS 1.1
提供TLS 1.2(OK)
SPDY / NPN h2,spdy / 3.1,http / 1.1(广告)
HTTP2 / ALPN h2,spdy / 3.1,http / 1.1(提供的)

测试~标准密码类别

不提供NULL密码(无加密)(OK)
不提供匿名NULL密码(无身份验证)(OK)
不提供出口密码(无ADH + NULL)(OK)
不提供低级密码:64位+DES加密(无出口)(OK)
不提供弱128位密码(SEED,IDEA,RC [2,4])(OK)
不提供Triple DES密码(中)(OK)
提供高级加密(AES + Camellia,无AEAD)(OK)
提供强加密(AEAD密码)(OK)

测试服务器首选项

服务器密码顺序?是的(OK)
协商的协议TLSv1.2
协商的密码ECDHE-ECDSA-CHACHA20-POLY1305-OLD,256位的ECDH(P-256)
密码顺序
TLSv1:ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1:ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2:ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

测试漏洞

Heartbleed(CVE-2014-0160)不受漏洞影响(OK),没有心跳扩展
CCS(CVE-2014-0224)不受漏洞影响(OK)
Ticketbleed(CVE-2016-9244),实验。不受漏洞影响(OK)
安全重新协商(CVE-2009-3555)不受漏洞影响(OK)
安全客户端启动重新协商不受漏洞影响(OK)
CRIME,TLS(CVE-2012-4929)不受漏洞影响(OK)
BREACH(CVE-2013-3587)可能不OK,使用gzip HTTP压缩。 - 仅供"/"测试
对于静态页面或页面中没有机密信息,可以忽略此项
POODLE,SSL(CVE-2014-3566)不受漏洞影响(OK)
TLS_FALLBACK_SCSV(RFC 7507)支持降级攻击防护(OK)
SWEET32(CVE-2016-2183,CVE-2016-6329)不受漏洞影响(OK)
FREAK(CVE-2015-0204)不受漏洞影响(OK)
DROWN(CVE-2016-0800,CVE-2016-0703)在此主机和端口上不受漏洞影响(OK)
确保您不在启用SSLv2的服务中使用此证书
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820可以帮助您找到答案
LOGJAM(CVE-2015-4000),实验不受漏洞影响(OK):没有DH EXPORT密码,没有检测到DH密钥
BEAST(CVE-2011-3389)TLS1:ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
易受攻击--但也支持更高的协议(可能有缓解措施):TLSv1.1 TLSv1.2
LUCKY13(CVE-2013-0169)易受攻击,使用密码块链接(CBC)密码
RC4(CVE-2013-2566,CVE-2015-2808)未检测到RC4密码(OK)

正如您所看到的,它涵盖了大量的漏洞、密码首选项、协议等。TestSSL.sh也可在docker image中找到。

如果您需要使用testssl.sh进行远程扫描,可以尝试Geekflare TLS Scanner

TLS扫描

您可以从源代码构建TLS-Scan,也可以下载适用于Linux / OSX的二进制文件。它从服务器提取证书信息,并以JSON格式打印以下指标。

  • 主机名验证检查
  • TLS压缩检查
  • 密码和TLS版本枚举检查
  • 会话重用检查

它支持TLS,SMTP,STARTTLS和MySQL协议。您还可以将生成的输出集成到类似Splunk、ELK的logs analyzer中。

密码扫描

一个快速的工具,用于分析HTTPS网站支持的所有密码。 Cipher Scan 也有一个选项可以以JSON格式显示输出。它是一个包装器,内部使用OpenSSL命令。

SSL审计

SSL audit 是一个开源工具,用于验证证书并支持基于SSL Labs的协议、密码和等级。

我希望上述的开源工具能帮助您将持续扫描与现有的日志分析工具集成,并简化故障排除过程。

姚伟斌

程序猿

我是姚伟斌,也被称为文景。我的专业领域涵盖了开放源代码的深度探索、网络编程和网络建站。我热衷于分享我的编程和建站实践经验,尤其擅长于Nginx和Proxy服务器的管理。此外,我还对Python和NodeJS这两种编程语言有着深刻的理解和独到的见解。

最近,我致力于爬虫技术的研究,探索如何通过高效的数据抓取为项目增添价值。我的目标是通过持续的学习和创新,为开放源代码社区贡献我的力量,并帮助那些对网络编程和网站建设感兴趣的人士。

类似文章

如何实施安全的HTTP头以防止漏洞?

如何实施安全的HTTP头以防止漏洞?

作者姚伟斌

functionality of a website. It is crucial to protect user data and prevent unauthorized access. One way to enhance security is by implementing necessary headers in the response header. These headers provide instructions to the browser on how to handle the website and its content.

For example, the “Strict-Transport-Security” header ensures that the website is only accessed through a secure connection, such as HTTPS. This helps prevent man-in-the-middle attacks and ensures that data transmitted between the user and the website remains encrypted.

Another important header is the “Content-Security-Policy” header, which helps prevent cross-site scripting (XSS) attacks. It specifies the valid sources of content that the browser should consider and helps block malicious scripts from executing.

Additionally, the “X-XSS-Protection” header enables the browser’s built-in XSS filter to prevent certain types of XSS attacks. It can automatically block requests with suspicious content and protect users from potentially harmful scripts.

By implementing these necessary headers in the response header, website owners can significantly enhance the security of their websites and protect user data. It is important to regularly review and update these headers to stay ahead of emerging security threats.

亚马逊云盘:一切你需要了解的内容

亚马逊云盘:一切你需要了解的内容

作者姚伟斌

secure, such as using external hard drives, cloud storage services, or USB flash drives. These options allow us to access our files anytime, anywhere, and ensure that they are protected from loss or damage.

External hard drives are a popular choice for storing large amounts of data. They are portable and can easily be connected to any device with a USB port. With high storage capacities, they provide ample space to store all types of files. However, they are susceptible to physical damage and require proper handling and storage to prevent data loss.

Cloud storage services offer a convenient and reliable way to store and backup files. They provide remote storage space that can be accessed from any device with an internet connection. Cloud storage services offer features like automatic backup, file synchronization, and file sharing, making it easy to manage and access files. However, concerns about data privacy and security may arise with cloud storage services.

USB flash drives, also known as thumb drives or memory sticks, are another popular option for storing and transferring files. They are small, portable, and offer plug-and-play functionality, allowing for easy file transfer between devices. USB flash drives come in various storage capacities and are compatible with most devices. However, they are prone to physical damage, data corruption, and loss due to their small size and portability.

Regardless of the storage method chosen, it is important to regularly back up files to avoid any potential loss. Additionally, it is recommended to keep multiple copies of important files in different locations to further safeguard them. Taking these precautions ensures that your files are protected and can be easily recovered in case of any unfortunate events.