11 KOSTENLOSE SSL/TLS-Fehlerbehebungstools für Webmaster

von

Als Web-Experte, Administrator oder Systembetreuer stoßen Sie oft auf Herausforderungen im Zusammenhang mit SSL/TLS.

Obwohl es viele Online-Ressourcen gibt, die bei der Untersuchung von SSL-Zertifikaten oder der Überprüfung von SSL/TLS-Schwachstellen helfen, sind diese oft ungeeignet für Tests von internen URLs, VIPs und IP-Adressen.

Für die Behebung von Fehlern in internen Ressourcen benötigen Sie spezielle Software oder Tools, die Sie in Ihrem Netzwerk installieren und die erforderlichen Analysen durchführen können.

Hier sind einige Situationen, in denen solche Tools nützlich sein können:

  • Probleme bei der Integration von SSL-Zertifikaten auf einem Webserver.
  • Sicherstellung, dass die aktuellsten oder bestimmten Chiffren und Protokolle verwendet werden.
  • Überprüfung der Konfiguration nach der Implementierung.
  • Identifizierung von Sicherheitslücken im Rahmen von Penetrationstests.

Die folgenden Tools sind besonders hilfreich bei der Lösung solcher Probleme.

DeepViolet

DeepViolet, eine in Java entwickelte Anwendung, dient als SSL/TLS-Scanner. Sie können sie entweder als ausführbare Datei nutzen oder aus dem Quellcode kompilieren.

Wenn Sie eine Alternative zu SSL Labs suchen, die in einem internen Netzwerk genutzt werden kann, ist DeepViolet eine ausgezeichnete Wahl. Es scannt auf:

  • Verwendung schwacher Chiffren.
  • Anwendung schwacher Signaturalgorithmen.
  • Status des Zertifikatwiderrufs.
  • Ablaufdatum von Zertifikaten.
  • Visualisierung der Vertrauenskette, einschließlich selbstsignierter Stammzertifikate.

SSL-Diagnose

Dieses Tool ermöglicht eine schnelle Bewertung der SSL-Sicherheit Ihrer Webseite. SSL-Diagnose analysiert SSL-Protokolle, Cipher Suites sowie Schwachstellen wie Heartbleed und BEAST.

Nicht nur für HTTPS, sondern auch für andere Protokolle wie SMTP, SIP, POP3 und FTPS können Sie die SSL-Sicherheit testen.

SSLyze

SSLyze ist ein Python-basiertes Tool und eine Bibliothek, die SSL-Endpunkte analysiert und nach Fehlkonfigurationen in SSL/TLS sucht.

Durch die Verteilung der Tests auf mehrere Prozesse werden schnelle Scanergebnisse erzielt. Für Entwickler bietet das Tool die Möglichkeit, Ergebnisse im XML- oder JSON-Format zu speichern, um sie in bestehende Anwendungen zu integrieren.

SSLyze ist ebenfalls in Kali Linux enthalten. Wenn Sie Kali Linux noch nicht kennen, finden Sie hier Anleitungen zur Installation von Kali Linux auf VMWare Fusion.

OpenSSL

OpenSSL ist ein mächtiges, eigenständiges Tool für Windows und Linux, das oft unterschätzt wird. Es ermöglicht die Durchführung vielfältiger Aufgaben wie SSL-Verifizierung, CSR-Generierung und Zertifikatskonvertierung.

SSL Labs Scan

Sind Sie ein Fan von Qualys SSL Labs? Dann sind Sie nicht allein.

Wenn Sie eine Befehlszeilenversion von SSL Labs für automatisierte oder Massentests benötigen, ist SSL Labs Scan sehr nützlich.

SSL-Scan

SSL-Scan ist mit Windows, Linux und MAC kompatibel und hilft bei der schnellen Identifizierung folgender Metriken:

  • Erkennung von SSLv2/SSLv3/CBC/3DES/RC4/Chiffren.
  • Meldung schwacher (<40 Bit), Null- oder anonymer Chiffren.
  • Prüfung der TLS-Komprimierung und der Heartbleed-Schwachstelle.
  • Und vieles mehr.

Bei der Arbeit mit Verschlüsselungsproblemen ist SSL-Scan ein hilfreiches Werkzeug, um die Fehlerbehebung zu beschleunigen.

wdzwdz TLS Scanner API

Für Webmaster ist die wdzwdz TLS Scanner API eine weitere clevere Option.

Diese API ermöglicht die schnelle Überprüfung von TLS-Protokollen, CN, SAN und anderen Zertifikatsdetails. Mit einem kostenlosen Abonnement können Sie bis zu 3000 Anfragen pro Monat risikofrei testen.

Für eine höhere Anforderungsrate und 10.000 API-Aufrufe bietet die Basis-Premium-Stufe zusätzliche Vorteile für lediglich 5 US-Dollar pro Monat.

SSL testen

Wie der Name schon sagt, ist SSL testen ein Befehlszeilentool für Linux und andere Betriebssysteme. Es prüft alle wichtigen Metriken und zeigt deren Status an.

Beispiel:

Testing protocols via sockets except SPDY+HTTP2

SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 offered
TLS 1.1 offered
TLS 1.2 offered (OK)
SPDY/NPN h2, spdy/3.1, http/1.1 (advertised)
HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered)

Testing ~standard cipher categories

NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES encryption (w/o export) not offered (OK)
Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK)
Triple DES Ciphers (Medium) not offered (OK)
High encryption (AES+Camellia, no AEAD) offered (OK)
Strong encryption (AEAD ciphers) offered (OK)

Testing server preferences

Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256)
Cipher order
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA 
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA 
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testing vulnerabilities

Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK)
Secure Renegotiation (CVE-2009-3555) not vulnerable (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK)
BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested
Can be ignored for static pages or if no secrets in the page
POODLE, SSL (CVE-2014-3566) not vulnerable (OK)
TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA 
VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)

Wie Sie sehen, deckt es eine Vielzahl von Schwachstellen, Verschlüsselungseinstellungen und Protokollen ab. TestSSL.sh ist auch als Docker-Image verfügbar.

Wenn Sie einen Remote-Scan mit testssl.sh durchführen müssen, können Sie den wdzwdz TLS-Scanner ausprobieren.

TLS-Scan

Sie können TLS-Scan entweder aus dem Quellcode erstellen oder die ausführbare Datei für Linux/OSX herunterladen. Es extrahiert Zertifikatsinformationen vom Server und gibt die folgenden Metriken im JSON-Format aus:

  • Hostnamen-Überprüfung
  • TLS-Komprimierungsprüfungen
  • Cipher- und TLS-Versionsauflistung
  • Überprüfung der Sitzungswiederverwendung

Die Software unterstützt TLS-, SMTP-, STARTTLS- und MySQL-Protokolle. Die resultierenden Ausgaben können auch in Protokollanalysewerkzeuge wie Splunk oder ELK integriert werden.

Chiffre-Scan

Ein schnelles Werkzeug zur Analyse der von einer HTTPS-Website unterstützten Verschlüsselungen. Chiffre-Scan bietet die Option, die Ausgaben im JSON-Format darzustellen. Es handelt sich um einen Wrapper und verwendet intern den OpenSSL-Befehl.

SSL-Audit

SSL-Audit ist ein Open-Source-Tool, das Zertifikate, Protokolle, Chiffren und Klassen basierend auf den Analysen von SSL Labs überprüft.

Ich hoffe, die oben genannten Open-Source-Tools helfen Ihnen dabei, kontinuierliche Scans in Ihre bestehende Protokollanalyse zu integrieren und die Fehlerbehebung zu erleichtern.

Weitere Artikel:

  1. So beheben Sie iOS 7 SSL / TLS-Sicherheitsfehler ohne ein Upgrade auf 7.0.6
  2. Die 9 besten Azure-Leistungsüberwachungs- und Fehlerbehebungstools
  3. Wie erstelle ich eine kostenlose Website mit benutzerdefiniertem Domainnamen, Hosting und SSL-Verschlüsselung?
  4. So erstellen Sie ein selbstsigniertes SSL-Zertifikat für Nginx in Ubuntu