Últimas notícias

Fique informado

10 ferramentas online para testar SSL, TLS e vulnerabilidades

15/01/2020

Spotlight

Como confirmar a validade das assinaturas digitais ICP-Brasil?

Com o isolamento social a tecnologia da certificação digital vem possibilitando com que pessoas e empresas resolvam alguns procedimentos por meio de documentos eletrônicos, mas como ter segurança?

21/05/2020

Multi-cloud é o novo normal, mas é um desafio maior à segurança de dados

A preocupação com o controle de identidades digitais nos ambientes corporativos se intensifica entre os CIOs do mundo todo na mesma proporção em que surgem as aplicações em Nuvem.

18/05/2020

As 10 melhores ferramentas de verificação de vulnerabilidades para testes de penetração – 2019

As dez melhores ferramentas de verificação de vulnerabilidades para testes de penetração de 2019 segundo o site de tecnologia GBHackers.

15/01/2020

A verificação  da vulnerabilidade do SSL e TLS são necessárias para garantir que seus parâmetros de certificado estejam corretamente configurados

Por Adriano Frare

Adriano Frare

Existem várias maneiras de verificar o certificado SSLe TLS. No entanto, os testes por meio de uma ferramenta on-line fornece muitas informações úteis, conforme iremos listar abaixo.

Neste post, vamos mostrar 10 ferramentas que servem para testar SSL, TLS e vulnerabilidades online.

Isso também ajuda a encontrar problemas com antecedência, em vez de o usuário reclamar deles.

A configuração incorreta do SSL/TLS pode levar o seu site a uma vulnerabilidade, portanto, verifique as seguintes ferramentas on-line para descobrir se algo está errado.

Os protocolos de SSL e TLS podem conter vulnerabilidade independente do sistema operacional, seja ele LINUX, WINDOWS ou MAC e independente do tipo do WEBSERVER (Apache, WEBSPHERE, IIS entre outros.) são vulneráveis a ataques se não corretamente configurados.

Ferramentas de verificação de vulnerabilidade do SSL e TLS

  1. SSL Labs
  2. SSL Checker
  3. Geekflare
  4. Wormly
  5. DigiCert
  6. SSL Server Security Test
  7. HowsMySSL
  8. SSL Checker
  9. Observatory
  10. CryptCheck

1 – SSL Labs

O SSL Labs da Qualys é uma das ferramentas de teste mais populares para verificar todas as últimas vulnerabilidades e configurações incorretas. Ex:

Emissor de certificado, validade, algoritmo usado para assinar

Detalhes de protocolo, conjuntos de cifras, simulação de handshake

Os resultados dos testes fornecem informações técnicas detalhadas; É aconselhável usar o administrador do sistema, auditor, engenheiro de segurança da web para conhecer e corrigir quaisquer parâmetros fracos.

2 – SSL Checker

O SSL Checker permite identificar rapidamente se um certificado em cadeia foi implementado corretamente. Ótima idéia para testar proativamente após a implementação do certificado para garantir que o certificado da cadeia não seja quebrado.

A SSL Store possui outra ferramenta que pode ser útil como:

Decodificador de CSR – visualize o CSR para garantir que as informações fornecidas, como CN, OU, O, etc., estejam corretas.

Conversor SSL – muito útil se você precisar converter seu certificado existente em um formato diferente.

3 – Geekflare

O Geekflare possui duas ferramentas relacionadas ao SSL / TLS.

Teste TLS – descubra rapidamente qual versão do protocolo TLS é suportada. Como você pode ver, a ferramenta também é capaz de testar o TLS 1.3 mais recente.

Scanner TLS – teste detalhado para descobrir as configurações e vulnerabilidades comuns.

Os resultados contêm o seguinte.

•Protocolo suportado junto com sua versão

•Preferência do servidor pelo handshake

•Teste de vulnerabilidades como sangramento cardíaco, Ticketbleed, ROBOT, CRIME, BREACH, POODLE, DROWN, LOGJAM, BEAST, LUCKY13, RC4 e muito mais.

•Detalhes do certificado

O scanner Geekflare TLS seria uma ótima alternativa aos SSL Labs.

4 – Wormly

O Web Server Tester by Wormly verifica mais de 65 métricas e fornece um status de cada uma, incluindo pontuações gerais. O relatório contém uma visão geral do certificado (CN, detalhes da expiração, cadeia de confiança), detalhes das Cifras de Criptografia, tamanho da chave pública, renegociação segura, protocolos como SSLv3 / v2, TLSv1 / 1.2.

5 – DigiCert

A Ferramenta de diagnóstico de instalação da DigiCert é outra ferramenta fantástica para fornecer ao DNS o endereço IP, detalhes do certificado, incluindo emissor, número de série, comprimento da chave, algoritmo de assinatura, cifra SSL suportada pelo servidor e detalhes de validade.

É útil se você deseja verificar o que todas as cifras suportadas pelo servidor.

6 – SSL Server Security Test (Teste de segurança do servidor)

Ferramenta útil da High-Tech Bridge para executar a digitalização no seu URL https e fornecer informações técnicas detalhadas com uma opção para baixar o relatório em formato PDF.

•Compatibilidade com PCI DSS

•Compatibilidade das Diretrizes NIST

•Tamanho DH

•Protocolos suportados

•Cifras Suportadas

•TLS Fallback

•Suporte à renegociação

•Suítes de cifras preferidas

•Conteúdo de terceiros

7  – HowsMySSL

Para testar o cliente, basta acessar o HowsMySSL a partir de um navegador. Ele verifica o cliente (navegador) e fornece o status de várias verificações, como:

•Versão de protocolo suportada

•Compressão

•Suporte do ticker de sessão

•Cifra suportada

8 – SSL Checker (Verificador SSL)

O SSL Checker ajuda você a verificar o emissor do certificado, detalhes da expiração e implementação da cadeia. Isso pode ser útil para visualizar a implementação do certificado em cadeia.

9 – Observatory

O Observatory by Mozilla verifica várias métricas, como detalhes da cifra TLS, detalhes do certificado, cabeçalhos seguros recomendados pela OWASP e muito mais.

Ele também tem uma opção para mostrar resultados de varredura de terceiros dos SSL Labs, ImmuniWeb, Pré-carregamento HSTS, Cabeçalhos seguros e CryptCheck.

10 – CryptCheck

O CryptCheck verifica rapidamente o site fornecido e mostra a pontuação quanto ao protocolo, troca de chaves e cifra. Você obtém detalhes detalhados dos conjuntos de cifras, portanto pode ser útil se estiver solucionando problemas ou validando cifras.

Conclusão

Espero que as ferramentas on-line gratuita listada acima, seja suficiente para validar o parâmetro do certificado SSL e comunicação TLS e forneça informações técnicas úteis para auditoria para manter o aplicativo Web seguro e menos vulnerável.

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

A importância da boa administração dos certificados SSL/TLS para se evitar interrupção de serviços e impedir ataques hackers

O que são certificados TLS/SSL?

Os 5 principais desafios de um administrador de certificados TLS / SSL

 

  Os artigos mais interessantes sobre TLS e SSL, você lê aqui no Crypto ID!