Wikipedia définit SSL ou Secure Sockets Layer comme suit - " Transport Layer Security (TLS) et son prédécesseur, Secure Sockets Layer (SSL), sont des protocoles cryptographiques qui assurent la sécurité de la communication sur Internet. TLS et SSL cryptent les segments de connexions réseau ci-dessus la couche de transport, en utilisant la cryptographie asymétrique de la vie privée et une clé message de code d'authentification pour les messages de fiabilité. TLS est un protocole IETF normes, dernière mise à jour 5246 RFC et est basé sur les spécifications antérieures SSL développé par Netscape Corporation. "
En mots plus simples, cela signifie que SSL crée une connexion sécurisée entre deux points, sur lequel n'importe quelle quantité de données peut être envoyée en toute sécurité. Il est principalement utilisé avec des applications web qui ont besoin de la confiance doit être établie entre le client et le serveur - la plupart des applications qui manipulent des données financières. Donc, vous voyez, il est primordial de voir que votre ou vos clients implémentation SSL est sûr à utiliser et ne fuit pas la moindre information. Ceci est une liste d'outils, nous avons compilé pour vous aider à faire exactement cela. Nous allons essayer de les limiter uniquement à l'open source et les outils gratuits:
1. SSLScan : Peut-être le plus ancien outil d'analyse SSL SSLScan requêtes de services SSL, tels que HTTPS, afin de déterminer les chiffres qui sont pris en charge. SSLScan est conçu pour être facile, maigre et rapide. La sortie inclut chiffrements préféré du service SSL, le certificat et est dans le texte et XML des formats.
Télécharger SSLScan v1.8.4 ( sslscan-1.8.4.tgz ) ici .
2. TLSSLed : Il est basé sur SSLcan. TLSSLed est un script shell Linux dont le but est d'évaluer la sécurité d'une cible de SSL / TLS (HTTPS) la mise en œuvre de serveur web. Il est basé sur sslscan, un examen approfondi de SSL / TLS scanner qui est basé sur la bibliothèque OpenSSL, et sur la "openssl s_client" outil en ligne de commande. Les tests actuels comprennent la vérification si la cible supporte le protocole SSLv2, le chiffrement NULL, chiffrements faibles en fonction de leur longueur de la clé (40 ou 56 bits), la disponibilité de chiffrements forts (comme AES), si le certificat numérique est MD5 signée , et l'actuel protocole SSL / TLS capacités renégociation.
Télécharger TLSSLed v1.1 ( TLSSLed_v1.1.sh ) ici .
3. Comodo SSL Analyzer : L'analyseur de protocole SSL souligne les éléments d'insécurité qui ont besoin de réparations immédiates en rouge. Le vert représente un niveau adéquat de sécurité et une couleur ambrée signifie qu'il ya un problème potentiel qui devrait être évaluée par l'administrateur du serveur web. Le Comodo SSL Analyzer fournit aux consommateurs et aux propriétaires de sites Web avec les connaissances essentielles concernant le niveau de sécurité de tout e-Business . Nous avons couvert cet outil ici.
Visitez COMODO SSL Analyzer v0.9.13 (BETA) ici .
4. CryptoNark : CryptoNark scanne votre site et rend compte tous les chiffrements qui un client SSL peuvent négocier avec succès. CryptoNark ne vérifie pas la validité du certificat utilisé pour crypter un site web-c'est parce que son but principal dans une perspective de SSL est de vérifier pour voir ce chiffrements sont activés. Nous avons couvert cet outil ici.
Télécharger CryptoNark v0.4.5 ( cnark-v0.4.5.tar.gz ) ici.
5. SSLTest : SSLTest est un outil de ligne de commande utilisée pour tester les serveurs basés SSL pour déterminer les chiffrements SSL et protocoles qu'ils supportent. Ces types de tests sont généralement effectués au cours des tests de pénétration et d'examens de la conformité (DSD ISM, PCI-DSS) qui comprennent un serveur SSL dans sa portée. Il s'agit d'un programme Perl, qui fonctionne sur Linux, sous Windows et Mac OS X , et est initialement basée sur Cryptonark par Mahns Chris. Il utilise OpenSSL pour établir des connexions SSL, et d'essai pour algorithmes de chiffrement supportés et les protocoles. Nous avons couvert cet outil ici.
Télécharger SSLTest v0.4 ( ssltest.pl ) ici.
6. SSLCertScanner : SSLCertScanner est l'outil SSL Scanner GRATUIT certificat qui peut numériser à distance, d'extraire et de valider le certificat SSL à partir de n'importe quel hôte, soit sur l'intranet ou internet. Il est complètement portable outil qui est également livré avec l'installateur pour soutenir l'installation locale et de désinstallation. Il fonctionne sur une large gamme de plates-formes à partir de Windows XP au plus tard le système d'exploitation Windows 7. Nous avons couvert cet outil ici.
Télécharger SSLCertScanner v2.5 (sslcertscanner.zip) ici.
7. Test de Qualys SSL : Test de Qualys SSL est un service en ligne qui vous permet d'inspecter la configuration de n'importe quel serveur web SSL public. Cette ligne gratuite de service effectue une analyse en profondeur de la configuration d'un serveur Web SSL sur l'Internet public. Nous avons écrit (très bref) de cet outil ici.
Visitez test Qualys SSL v1.0.59 ici.
8. Audit SSL : SSL vérification scans des serveurs web pour le support de SSL, contrairement à d'autres outils, il n'est pas limité aux algorithmes de chiffrement supportés par les moteurs tels que SSL OpenSSL ou NSS mais peut détecter toutes les suites de chiffrement connu. Il dispose d'un moteur d’empreintes digitales innovant qui n'a jamais été vu auparavant. Nous avons écrit sur cet outil ici.
Télécharger Alpha vérification SSL ici.
Alors, ça y est! Ceci est une liste de scanners SSL que nous sommes conscients. Incase vous sais plus, s'il vous plaît laissez-nous savoir! Nous serons plus qu'heureux d'ajouter qu'il cette liste! Où allez-vous après l'utilisation de ces outils? Harden votre pile SSL!
Aucun commentaire:
Enregistrer un commentaire