A verificação da vulnerabilidade do SSL e TLS são necessárias para garantir que seus parâmetros de certificado estejam corretamente configurados
Por Adriano Frare
Existem várias maneiras de verificar o certificado SSLe TLS. No entanto, os testes por meio de uma ferramenta on-line fornece muitas informações úteis, conforme iremos listar abaixo.
Neste post, vamos mostrar 10 ferramentas que servem para testar SSL, TLS e vulnerabilidades online.
Isso também ajuda a encontrar problemas com antecedência, em vez de o usuário reclamar deles.
A configuração incorreta do SSL/TLS pode levar o seu site a uma vulnerabilidade, portanto, verifique as seguintes ferramentas on-line para descobrir se algo está errado.
Os protocolos de SSL e TLS podem conter vulnerabilidade independente do sistema operacional, seja ele LINUX, WINDOWS ou MAC e independente do tipo do WEBSERVER (Apache, WEBSPHERE, IIS entre outros.) são vulneráveis a ataques se não corretamente configurados.
Ferramentas de verificação de vulnerabilidade do SSL e TLS
- SSL Labs
- SSL Checker
- Geekflare
- Wormly
- DigiCert
- SSL Server Security Test
- HowsMySSL
- SSL Checker
- Observatory
- CryptCheck
1 – SSL Labs
O SSL Labs da Qualys é uma das ferramentas de teste mais populares para verificar todas as últimas vulnerabilidades e configurações incorretas. Ex:
Emissor de certificado, validade, algoritmo usado para assinar
Detalhes de protocolo, conjuntos de cifras, simulação de handshake
Os resultados dos testes fornecem informações técnicas detalhadas; É aconselhável usar o administrador do sistema, auditor, engenheiro de segurança da web para conhecer e corrigir quaisquer parâmetros fracos.
2 – SSL Checker
O SSL Checker permite identificar rapidamente se um certificado em cadeia foi implementado corretamente. Ótima idéia para testar proativamente após a implementação do certificado para garantir que o certificado da cadeia não seja quebrado.
A SSL Store possui outra ferramenta que pode ser útil como:
Decodificador de CSR – visualize o CSR para garantir que as informações fornecidas, como CN, OU, O, etc., estejam corretas.
Conversor SSL – muito útil se você precisar converter seu certificado existente em um formato diferente.
3 – Geekflare
O Geekflare possui duas ferramentas relacionadas ao SSL / TLS.
Teste TLS – descubra rapidamente qual versão do protocolo TLS é suportada. Como você pode ver, a ferramenta também é capaz de testar o TLS 1.3 mais recente.
Scanner TLS – teste detalhado para descobrir as configurações e vulnerabilidades comuns.
Os resultados contêm o seguinte.
•Protocolo suportado junto com sua versão
•Preferência do servidor pelo handshake
•Teste de vulnerabilidades como sangramento cardíaco, Ticketbleed, ROBOT, CRIME, BREACH, POODLE, DROWN, LOGJAM, BEAST, LUCKY13, RC4 e muito mais.
•Detalhes do certificado
O scanner Geekflare TLS seria uma ótima alternativa aos SSL Labs.
4 – Wormly
O Web Server Tester by Wormly verifica mais de 65 métricas e fornece um status de cada uma, incluindo pontuações gerais. O relatório contém uma visão geral do certificado (CN, detalhes da expiração, cadeia de confiança), detalhes das Cifras de Criptografia, tamanho da chave pública, renegociação segura, protocolos como SSLv3 / v2, TLSv1 / 1.2.
5 – DigiCert
A Ferramenta de diagnóstico de instalação da DigiCert é outra ferramenta fantástica para fornecer ao DNS o endereço IP, detalhes do certificado, incluindo emissor, número de série, comprimento da chave, algoritmo de assinatura, cifra SSL suportada pelo servidor e detalhes de validade.
É útil se você deseja verificar o que todas as cifras suportadas pelo servidor.
6 – SSL Server Security Test (Teste de segurança do servidor)
Ferramenta útil da High-Tech Bridge para executar a digitalização no seu URL https e fornecer informações técnicas detalhadas com uma opção para baixar o relatório em formato PDF.
•Compatibilidade com PCI DSS
•Compatibilidade das Diretrizes NIST
•Tamanho DH
•Protocolos suportados
•Cifras Suportadas
•TLS Fallback
•Suporte à renegociação
•Suítes de cifras preferidas
•Conteúdo de terceiros
7 – HowsMySSL
Para testar o cliente, basta acessar o HowsMySSL a partir de um navegador. Ele verifica o cliente (navegador) e fornece o status de várias verificações, como:
•Versão de protocolo suportada
•Compressão
•Suporte do ticker de sessão
•Cifra suportada
8 – SSL Checker (Verificador SSL)
O SSL Checker ajuda você a verificar o emissor do certificado, detalhes da expiração e implementação da cadeia. Isso pode ser útil para visualizar a implementação do certificado em cadeia.
9 – Observatory
O Observatory by Mozilla verifica várias métricas, como detalhes da cifra TLS, detalhes do certificado, cabeçalhos seguros recomendados pela OWASP e muito mais.
Ele também tem uma opção para mostrar resultados de varredura de terceiros dos SSL Labs, ImmuniWeb, Pré-carregamento HSTS, Cabeçalhos seguros e CryptCheck.
10 – CryptCheck
O CryptCheck verifica rapidamente o site fornecido e mostra a pontuação quanto ao protocolo, troca de chaves e cifra. Você obtém detalhes detalhados dos conjuntos de cifras, portanto pode ser útil se estiver solucionando problemas ou validando cifras.
Conclusão
Espero que as ferramentas on-line gratuita listada acima, seja suficiente para validar o parâmetro do certificado SSL e comunicação TLS e forneça informações técnicas úteis para auditoria para manter o aplicativo Web seguro e menos vulnerável.
Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test
O que são certificados TLS/SSL?
Os 5 principais desafios de um administrador de certificados TLS / SSL
[button link=”https://cryptoid.com.br/category/ssl-tls/” icon=”fa-lock” side=”left” target=”” color=”1abfff” textcolor=”ffffff”]Os artigos mais interessantes sobre TLS e SSL, você lê aqui no Crypto ID![/button]