A verificação da vulnerabilidade do SSL e TLS são necessárias para garantir que seus parâmetros de certificado estejam corretamente configurados. Existem várias maneiras de verificar o certificado SSLe TLS. No entanto, os testes por meio de uma ferramenta on-line fornece muitas informações úteis, conforme iremos listar abaixo. Neste post, vamos mostrar 10 ferramentas que servem para testar SSL, TLS e vulnerabilidades online.
Isso também ajuda a encontrar problemas com antecedência, em vez de o usuário reclamar deles. A configuração incorreta do SSL/TLS pode levar o seu site a uma vulnerabilidade, portanto, verifique as seguintes ferramentas on-line para descobrir se algo está errado.
Os protocolos de SSL e TLS podem conter vulnerabilidade independente do sistema operacional, seja ele LINUX, WINDOWS ou MAC e independente do tipo do WEBSERVER (Apache, WEBSPHERE, IIS entre outros.) são vulneráveis a ataques se não corretamente configurados.
Ferramentas de verificação de vulnerabilidade do SSL e TLS
- SSL Labs
- SSL Checker
- Geekflare
- Wormly
- DigiCert
- SSL Server Security Test
- HowsMySSL
- SSL Checker
- Observatory
- CryptCheck
SSL Labs
O SSL Labs da Qualys é uma das ferramentas de teste SSL mais populares para verificar todas as últimas vulnerabilidades e configurações incorretas. Ex:
Emissor de certificado, validade, algoritmo usado para assinar
Detalhes de protocolo, conjuntos de cifras, simulação de handshake
Os resultados dos testes fornecem informações técnicas detalhadas; É aconselhável usar o administrador do sistema, auditor, engenheiro de segurança da web para conhecer e corrigir quaisquer parâmetros fracos.
SSL Checker
O SSL Checker permite identificar rapidamente se um certificado em cadeia foi implementado corretamente. Ótima idéia para testar proativamente após a implementação do certificado SSL para garantir que o certificado da cadeia não seja quebrado.
A SSL Store possui outra ferramenta que pode ser útil como:
Decodificador de CSR – visualize o CSR para garantir que as informações fornecidas, como CN, OU, O, etc., estejam corretas.
Conversor SSL – muito útil se você precisar converter seu certificado existente em um formato diferente.
Geekflare
O Geekflare possui duas ferramentas relacionadas ao SSL / TLS.
Teste TLS – descubra rapidamente qual versão do protocolo TLS é suportada. Como você pode ver, a ferramenta também é capaz de testar o TLS 1.3 mais recente.
Scanner TLS – teste detalhado para descobrir as configurações e vulnerabilidades comuns.
Os resultados contêm o seguinte.
- Protocolo suportado junto com sua versão
- Preferência do servidor pelo handshake
- Teste de vulnerabilidades como sangramento cardíaco, Ticketbleed, ROBOT, CRIME, BREACH, POODLE, DROWN, LOGJAM, BEAST, LUCKY13, RC4 e muito mais.
- Detalhes do certificado
O scanner Geekflare TLS seria uma ótima alternativa aos SSL Labs.
Wormly
O Web Server Tester by Wormly verifica mais de 65 métricas e fornece um status de cada uma, incluindo pontuações gerais. O relatório contém uma visão geral do certificado (CN, detalhes da expiração, cadeia de confiança), detalhes das Cifras de Criptografia, tamanho da chave pública, renegociação segura, protocolos como SSLv3 / v2, TLSv1 / 1.2.
DigiCert
A Ferramenta de diagnóstico de instalação SSL da DigiCert é outra ferramenta fantástica para fornecer ao DNS o endereço IP, detalhes do certificado, incluindo emissor, número de série, comprimento da chave, algoritmo de assinatura, cifra SSL suportada pelo servidor e detalhes de validade.
É útil se você deseja verificar o que todas as cifras suportadas pelo servidor.
SSL Server Security Test (Teste de segurança do servidor SSL)
Ferramenta útil da High-Tech Bridge para executar a digitalização no seu URL https e fornecer informações técnicas detalhadas com uma opção para baixar o relatório em formato PDF.
- Compatibilidade com PCI DSS
- Compatibilidade das Diretrizes NIST
- Tamanho DH
- Protocolos suportados
- Cifras Suportadas
- TLS Fallback
- Suporte à renegociação
- Suítes de cifras preferidas
- Conteúdo de terceiros
HowsMySSL
Para testar o cliente, basta acessar o HowsMySSL a partir de um navegador. Ele verifica o cliente (navegador) e fornece o status de várias verificações, como:
- Versão de protocolo suportada
- Compressão
- Suporte do ticker de sessão
- Cifra suportada
SSL Checker (Verificador SSL)
O SSL Checker ajuda você a verificar o emissor do certificado, detalhes da expiração e implementação da cadeia. Isso pode ser útil para visualizar a implementação do certificado em cadeia.
Observatory
O Observatory by Mozilla verifica várias métricas, como detalhes da cifra TLS, detalhes do certificado, cabeçalhos seguros recomendados pela OWASP e muito mais.
Ele também tem uma opção para mostrar resultados de varredura de terceiros dos SSL Labs, ImmuniWeb, Pré-carregamento HSTS, Cabeçalhos seguros e CryptCheck.
CryptCheck
O CryptCheck verifica rapidamente o site fornecido e mostra a pontuação quanto ao protocolo, troca de chaves e cifra. Você obtém detalhes detalhados dos conjuntos de cifras, portanto pode ser útil se estiver solucionando problemas ou validando cifras.
Conclusão
Espero que asferramentas on-line gratuita listada acima, seja suficiente para validar o parâmetro do certificado SSL e comunicação TLS e forneça informações técnicas úteis para auditoria para manter o aplicativo Web seguro e menos vulnerável.
Estamos disponibilizando mais alguns links com material adicional sobre o tema.
Manjaro atualiza sua infraestrutura e adota o Certificado SSL
Facebook, Mozilla e Cloudflare anunciam novo padrão de credenciais delegadas TLS