Últimas notícias

Fique informado

10 ferramentas online para testar SSL, TLS e vulnerabilidades

15 de janeiro de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

As 10 melhores ferramentas de verificação de vulnerabilidades para testes de penetração – 2019

As dez melhores ferramentas de verificação de vulnerabilidades para testes de penetração de 2019 segundo o site de tecnologia GBHackers.

15 de janeiro de 2020

A verificação  da vulnerabilidade do SSL e TLS são necessárias para garantir que seus parâmetros de certificado estejam corretamente configurados

Por Adriano Frare

Adriano Frare

Existem várias maneiras de verificar o certificado SSLe TLS. No entanto, os testes por meio de uma ferramenta on-line fornece muitas informações úteis, conforme iremos listar abaixo.

Neste post, vamos mostrar 10 ferramentas que servem para testar SSL, TLS e vulnerabilidades online.

Isso também ajuda a encontrar problemas com antecedência, em vez de o usuário reclamar deles.

A configuração incorreta do SSL/TLS pode levar o seu site a uma vulnerabilidade, portanto, verifique as seguintes ferramentas on-line para descobrir se algo está errado.

Os protocolos de SSL e TLS podem conter vulnerabilidade independente do sistema operacional, seja ele LINUX, WINDOWS ou MAC e independente do tipo do WEBSERVER (Apache, WEBSPHERE, IIS entre outros.) são vulneráveis a ataques se não corretamente configurados.

Ferramentas de verificação de vulnerabilidade do SSL e TLS

  1. SSL Labs
  2. SSL Checker
  3. Geekflare
  4. Wormly
  5. DigiCert
  6. SSL Server Security Test
  7. HowsMySSL
  8. SSL Checker
  9. Observatory
  10. CryptCheck

1 – SSL Labs

O SSL Labs da Qualys é uma das ferramentas de teste mais populares para verificar todas as últimas vulnerabilidades e configurações incorretas. Ex:

Emissor de certificado, validade, algoritmo usado para assinar

Detalhes de protocolo, conjuntos de cifras, simulação de handshake

Os resultados dos testes fornecem informações técnicas detalhadas; É aconselhável usar o administrador do sistema, auditor, engenheiro de segurança da web para conhecer e corrigir quaisquer parâmetros fracos.

2 – SSL Checker

O SSL Checker permite identificar rapidamente se um certificado em cadeia foi implementado corretamente. Ótima idéia para testar proativamente após a implementação do certificado para garantir que o certificado da cadeia não seja quebrado.

A SSL Store possui outra ferramenta que pode ser útil como:

Decodificador de CSR – visualize o CSR para garantir que as informações fornecidas, como CN, OU, O, etc., estejam corretas.

Conversor SSL – muito útil se você precisar converter seu certificado existente em um formato diferente.

3 – Geekflare

O Geekflare possui duas ferramentas relacionadas ao SSL / TLS.

Teste TLS – descubra rapidamente qual versão do protocolo TLS é suportada. Como você pode ver, a ferramenta também é capaz de testar o TLS 1.3 mais recente.

Scanner TLS – teste detalhado para descobrir as configurações e vulnerabilidades comuns.

Os resultados contêm o seguinte.

•Protocolo suportado junto com sua versão

•Preferência do servidor pelo handshake

•Teste de vulnerabilidades como sangramento cardíaco, Ticketbleed, ROBOT, CRIME, BREACH, POODLE, DROWN, LOGJAM, BEAST, LUCKY13, RC4 e muito mais.

•Detalhes do certificado

O scanner Geekflare TLS seria uma ótima alternativa aos SSL Labs.

4 – Wormly

O Web Server Tester by Wormly verifica mais de 65 métricas e fornece um status de cada uma, incluindo pontuações gerais. O relatório contém uma visão geral do certificado (CN, detalhes da expiração, cadeia de confiança), detalhes das Cifras de Criptografia, tamanho da chave pública, renegociação segura, protocolos como SSLv3 / v2, TLSv1 / 1.2.

5 – DigiCert

A Ferramenta de diagnóstico de instalação da DigiCert é outra ferramenta fantástica para fornecer ao DNS o endereço IP, detalhes do certificado, incluindo emissor, número de série, comprimento da chave, algoritmo de assinatura, cifra SSL suportada pelo servidor e detalhes de validade.

É útil se você deseja verificar o que todas as cifras suportadas pelo servidor.

6 – SSL Server Security Test (Teste de segurança do servidor)

Ferramenta útil da High-Tech Bridge para executar a digitalização no seu URL https e fornecer informações técnicas detalhadas com uma opção para baixar o relatório em formato PDF.

•Compatibilidade com PCI DSS

•Compatibilidade das Diretrizes NIST

•Tamanho DH

•Protocolos suportados

•Cifras Suportadas

•TLS Fallback

•Suporte à renegociação

•Suítes de cifras preferidas

•Conteúdo de terceiros

7  – HowsMySSL

Para testar o cliente, basta acessar o HowsMySSL a partir de um navegador. Ele verifica o cliente (navegador) e fornece o status de várias verificações, como:

•Versão de protocolo suportada

•Compressão

•Suporte do ticker de sessão

•Cifra suportada

8 – SSL Checker (Verificador SSL)

O SSL Checker ajuda você a verificar o emissor do certificado, detalhes da expiração e implementação da cadeia. Isso pode ser útil para visualizar a implementação do certificado em cadeia.

9 – Observatory

O Observatory by Mozilla verifica várias métricas, como detalhes da cifra TLS, detalhes do certificado, cabeçalhos seguros recomendados pela OWASP e muito mais.

Ele também tem uma opção para mostrar resultados de varredura de terceiros dos SSL Labs, ImmuniWeb, Pré-carregamento HSTS, Cabeçalhos seguros e CryptCheck.

10 – CryptCheck

O CryptCheck verifica rapidamente o site fornecido e mostra a pontuação quanto ao protocolo, troca de chaves e cifra. Você obtém detalhes detalhados dos conjuntos de cifras, portanto pode ser útil se estiver solucionando problemas ou validando cifras.

Conclusão

Espero que as ferramentas on-line gratuita listada acima, seja suficiente para validar o parâmetro do certificado SSL e comunicação TLS e forneça informações técnicas úteis para auditoria para manter o aplicativo Web seguro e menos vulnerável.

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

A importância da boa administração dos certificados SSL/TLS para se evitar interrupção de serviços e impedir ataques hackers

O que são certificados TLS/SSL?

Os 5 principais desafios de um administrador de certificados TLS / SSL

 

  Os artigos mais interessantes sobre TLS e SSL, você lê aqui no Crypto ID!