Esiste uno strumento per verificare se un server supporta qualsiasi suite di crittografia?

0

Vorrei verificare se un server sta usando alcune suite di codici errati. Il problema è che molte delle suite di codici errati sono state rimosse da openssl 1.x (ad esempio suite esposte a FREAK). Pertanto, openssl sclient -cipher per testare il server di destinazione non sempre funziona.

Ho letto da OpenSSL Cookbook:

No single SSL/TLS library supports all cipher suites, and that makes comprehensive testing difficult. For SSL Labs, I resorted to using partial handshakes for this purpose, with a custom client that pretends to support arbitrary suites.

È disponibile uno strumento di questo tipo (opensource preferibilmente)?

    
posta cfchou 09.09.2016 - 08:56
fonte

1 risposta

3

Testssl.sh può rilevare codici errati e molte altre cose riguardanti la sicurezza SSL.

Modifica:

Anche testssl.sh dipende da OpenSSL per i codici che sottopone a test. Viene fornito con la propria libreria OpenSSL che ha abilitato molti cifrari depredati. Dovresti usare testssl.sh con quella libreria OpenSSL, non con la libreria del tuo sistema.

Tuttavia, anche la libreria OpenSSL di testssl non supporta tutti i cifrari esistenti nel mondo. Secondo Dirk Wetter, lo sviluppatore di testssl.sh:

There are cipher suite which are not scanned -- as there's a wealth of ciphers around and only a part is being used in the internet.

 Bad ones: nope, everything should be included with the accompanied openssl binary.

New ones in practical use: a few which are being used by Google so far (new chacha/poly ciphers and post quantum ciphers).

We're aiming at testing every single cipher per bash sockets in the next release.

    
risposta data 09.09.2016 - 09:14
fonte

Leggi altre domande sui tag